/ Marzo-Abril 2026 36 Resiliencia de Entidades Críticas El transporte tampoco queda al margen de esta preocupación. Los aeropuertos son instalaciones de gran visibilidad simbólica, y el uso de drones para perturbar sus operaciones está ya al alcance de cualquiera; sería un error seguir tratándolo como una amenaza secundaria. Los puertos, en particular los de Algeciras, Valencia y Barcelona, son nodos logísticos cuya alteración arrastra consecuencias por toda la cadena de suministro nacional. Del mismo modo, el sector ferroviario resulta cada vez más vulnerable a perturbaciones de origen cibernético, dada su creciente dependencia de sistemas digitales de gestión y señalización que pueden verse comprometidos sin necesidad de presencia física. Con todo, el sector que menos aparece en los análisis de amenaza y que más merece una atención sostenida es el del ciclo del agua. Los ataques sobre plantas de potabilización o redes de distribución pueden dejar a grandes ciudades sin abastecimiento en pocas horas. Y, aunque la probabilidad de una contaminación deliberada sea reducida, las consecuencias sobre la salud pública son suficientemente graves como para que nunca deje de estar en el punto de mira. Consolidación de amenazas Hace unos años, la amenaza híbrida parecía cosa de otros países o de ejercicios de planificación sobre el papel. Ya no es así. Los conflictos en Ucrania y en Oriente Medio han normalizado la combinación de acciones físicas y cibernéticas para multiplicar el impacto y dificultar la atribución de responsabilidades. La inteligencia artificial está poniendo esas capacidades al alcance de actores que antes no podían ni planteárselo. Todo ello tiene una consecuencia muy concreta para los operadores de infraestructuras críticas: seguir gestionando la seguridad física por un lado y la ciberseguridad por otro ha dejado de ser una opción razonable. Los incidentes registrados en distintos países europeos durante los últimos meses lo ponen de manifiesto: las brechas que se explotan no son las técnicamente más sofisticadas, sino las que existen entre departamentos que no se coordinan entre sí. El CNPIC trabaja para adaptar el sistema a esta nueva realidad. La transposición de la Directiva CER aporta una base regulatoria más ajustada al escenario actual, pero las normas, por sí solas, no protegen nada. Lo que protege es el trabajo diario con los operadores, el intercambio real de información sobre amenazas y la capacidad de ensayar respuestas conjuntas antes de que sea necesario ponerlas en práctica. Lo que estos meses han dejado claro es sencillo de enunciar, aunque no tan fácil de llevar a la práctica: proteger las infraestructuras críticas ya no consiste solo en asegurar perímetros o en disponer de buenos planes de contingencia. Consiste en comprender que lo que ocurre lejos puede volverse cercano en muy poco tiempo y en tener el sistema preparado para responder antes de que eso suceda. En eso estamos trabajando. La transposición de la Directiva CER aporta una base regulatoria ajustada al escenario actual, pero las normas, por sí solas, no protegen nada
RkJQdWJsaXNoZXIy MTI4MzQz