Anti-tailgating con IA de vídeo en control de accesos

El torno no impide el tailgating, lo documenta. Quien lo entiende deja de tratar el control de accesos como una cuestión de mobiliario y empieza a tratarlo como una cuestión de analítica.

El sector lleva dos décadas vendiendo tornos trípode, pasillos motorizados y mantraps como si la geometría del paso fuese suficiente para garantizar que una credencial se corresponde con una persona. No lo es. En la práctica diaria de una planta industrial, un centro logístico o un edificio corporativo, el tailgating, el paso de una segunda persona aprovechando la apertura legítima de la primera, es el modo de fallo más extendido y el menos perseguido. Se asume como ruido de fondo, se compensa con turnos de vigilancia, y se descubre tarde, cuando la conciliación entre fichajes y nóminas, o entre accesos y partes de incidente, ya no cuadra.

La diferencia entre un control de accesos que limita el tailgating y uno que sólo lo registra está en la capa de analítica de vídeo, no en la mecánica. Y esa capa hoy se construye con visión por computador entrenada para tareas concretas, no con promesas genéricas de inteligencia artificial.

Por qué el torno solo nunca bastó

El torno, en cualquiera de sus formas, resuelve un problema mecánico: que un cuerpo pase de una vez. Lo hace con razonable fiabilidad cuando la persona coopera, cuando la credencial se presenta limpiamente y cuando nadie tiene interés en forzar el sistema. Resuelve mal, en cambio, los tres escenarios que importan en seguridad seria. El primero es la coacción, cuando una persona autorizada permite voluntariamente el paso de otra, ya sea por cortesía mal entendida, por presión social o por colusión. El segundo es la suplantación, cuando dos cuerpos físicamente cercanos se interpretan como uno por sensores ópticos o de presión mal calibrados. El tercero es la velocidad, cuando alguien salta o se cuela aprovechando el lapso de cierre del brazo o del panel.

Los fabricantes han respondido a estos escenarios con más mecánica. Mantraps con esclusas dobles, sensores de presión en el suelo, fotocélulas verticales escalonadas, brazos con sensores de torque que detectan resistencia anómala. Cada capa añade fricción al usuario legítimo y un punto de fallo más al mantenimiento. La curva de coste crece, la curva de inconveniencia también, y la curva de incidentes evitados se aplana antes de lo que el comercial quiere admitir.

El problema de fondo es que la mecánica no sabe quién pasa, sólo sabe que algo pasa. Y cuando lo que pasa son dos cosas en lugar de una, la mecánica tiene que decidir entre bloquear y dejar pasar sin más información que la masa, la altura y el momento. Esas tres variables son insuficientes para distinguir a un técnico de mantenimiento con caja de herramientas de dos personas delgadas pegadas de espalda. La mecánica falla en silencio, y el operador se entera por la cámara, horas o días después, cuando ya no hay nada que hacer salvo redactar un parte.

La analítica de vídeo cambia esta ecuación porque introduce, antes del paso o durante el paso, una segunda fuente de verdad. No reemplaza al torno, lo informa. El torno decide si abre o no abre. La analítica decide qué información entrega al torno y al operador antes de que el brazo se mueva. Esa diferencia, en apariencia menor, es la que separa un control de accesos pasivo de uno activo.

Qué hace la analítica de vídeo cuando está bien hecha

La analítica de vídeo aplicada al anti-tailgating no es reconocimiento facial. Esa es la primera confusión que conviene despejar. El reconocimiento facial responde a una pregunta de identidad, ¿quién es esta persona?, que en muchas jurisdicciones europeas no se puede plantear sin base jurídica específica, evaluación de impacto y, en ciertos contextos, consulta previa a la AEPD. La analítica anti-tailgating responde a una pregunta distinta, ¿cuántas personas hay en este vano y a qué velocidad se mueven?, que es una pregunta sobre cuerpos, no sobre identidades.

Un sistema bien construido combina varias capas de inferencia que operan en paralelo. La primera es el conteo, un modelo de detección de personas entrenado sobre vistas cenitales o ligeramente inclinadas que cuenta cuerpos en el área del paso. La segunda es el seguimiento, que asigna un identificador efímero a cada cuerpo durante los segundos que dura el cruce y verifica que no se fragmenta ni se fusiona con otro. La tercera es la velocidad, que mide la cadencia del paso y compara con el patrón esperado para una persona andando con credencial en mano. La cuarta es la postura, que detecta cuerpos en posiciones anómalas, agachados, saltando, pegados de espalda, situaciones que estadísticamente correlacionan con intento de elusión.

Estas cuatro capas operan en milisegundos, sobre el flujo de la cámara, normalmente en una unidad de procesamiento local instalada cerca del torno o integrada en él. La decisión, abrir, no abrir, alertar, se toma antes de que el usuario perciba latencia. Cuando el sistema detecta una anomalía, no necesariamente bloquea, eso depende de la política del cliente, pero sí marca el evento, lo asocia al fragmento de vídeo correspondiente y lo eleva al operador con una etiqueta que permite búsqueda posterior. La diferencia entre un sistema que genera mil alertas al día y uno que genera diez es la calidad del modelo y la calibración del umbral, no el hardware.

Aquí entra una observación que rara vez aparece en las hojas de producto. Un modelo de visión por computador para anti-tailgating necesita ser entrenado o, al menos, ajustado sobre datos de la geometría real del cliente. Una cámara cenital a tres metros sobre un torno trípode en un vestíbulo con luz natural no se comporta como la misma cámara en un pasillo de planta con luz fluorescente fluctuante. Los fabricantes que entregan modelos pre-entrenados y los dejan en funcionamiento sin reajuste local producen sistemas que en seis meses están desincronizados con la realidad del edificio. La diferencia entre un proveedor y un fabricante serio está en si ofrece o no este reajuste como parte del servicio.

Mantraps, esclusas y la lógica de la doble puerta

La mantrap, esclusa de doble puerta donde la segunda hoja no abre hasta que la primera se ha cerrado, sigue siendo el dispositivo de mayor garantía mecánica contra el tailgating. Su uso, sin embargo, está limitado por dos factores que rara vez se discuten con la franqueza necesaria. El primero es el flujo, una mantrap procesa entre cuatro y ocho personas por minuto en condiciones óptimas, lo que la hace inviable como acceso principal en cualquier instalación con tráfico real. El segundo es la experiencia del usuario, pasar por una esclusa es una operación incómoda que el personal habitual aprende a evitar buscando rutas alternativas, lo que reintroduce el problema por la puerta de atrás.

La aplicación correcta de la mantrap, por tanto, no es como acceso general sino como segundo escalón para zonas críticas. Un centro de datos, una sala de servidores que aloje sistemas designados como infraestructura crítica bajo el perímetro CNPIC, una cámara acorazada, un laboratorio de patógenos, una zona de manipulación de efectivo. En estos contextos, la fricción de la esclusa es aceptable porque el coste del fallo es alto, el flujo es bajo y el perfil de usuario es entrenable.

La analítica de vídeo dentro de la esclusa aporta una función que la mecánica sola no puede ofrecer, la verificación de unicidad antes de la apertura de la segunda hoja. El sistema confirma que en el volumen de la esclusa hay exactamente una persona, no dos pegadas, no una persona y un bulto sospechoso, no una persona en postura anómala. Esta verificación reduce el riesgo de coacción, donde una persona autorizada entra con una segunda obligada y oculta. También reduce el riesgo de paquetes o dispositivos introducidos por personal interno con intenciones de sabotaje, un escenario que INCIBE ha señalado repetidamente en sus análisis sobre amenaza interna en infraestructuras industriales.

La integración entre la analítica y el control mecánico de la esclusa exige una arquitectura clara. La cámara y el procesador local toman la decisión sobre unicidad. Esa decisión se transmite al controlador de puerta mediante un protocolo que el integrador de seguridad reconoce y que el departamento de tecnologías de la información del cliente puede auditar. No hay magia. Hay un cable, un protocolo, un registro de eventos y una política de mantenimiento. Quien venda esto como una caja negra no ha entendido el oficio.

Sensores de velocidad y la curva del paso humano

Una persona andando con credencial en mano y propósito legítimo cruza un torno en un rango de velocidad razonablemente estable, entre setenta y ciento veinte centímetros por segundo en la mayoría de los entornos corporativos. Salirse de ese rango, hacia arriba, alguien corriendo, saltando, lanzándose, o hacia abajo, alguien deteniéndose en el vano para sostener la apertura para un tercero, es un indicador estadístico de comportamiento anómalo.

Los sensores de velocidad, ya sean ópticos, infrarrojos o derivados directamente del análisis de vídeo, miden esta curva. Cuando se desvía del patrón, el sistema reacciona. La reacción puede ser sutil, una alerta al operador, una marca en el registro para revisión posterior, o contundente, el cierre inmediato del brazo y la activación de una alarma audible. La elección depende del contexto operativo y debe estar documentada en la política de seguridad del cliente.

La calibración de estos umbrales es el trabajo invisible que separa un sistema útil de uno irritante. Si el umbral está demasiado apretado, cada persona que se gira para saludar a un compañero genera una alerta. Si está demasiado relajado, el tailgating real pasa sin marca. Encontrar el punto correcto exige semanas de observación sobre el comportamiento real del flujo del cliente, no horas en un laboratorio del fabricante. Este trabajo de campo es lo que en la jerga del sector se llama tuning y es donde los proyectos serios se distinguen de los que se entregan con la documentación todavía caliente del manual genérico.

Un detalle que rara vez se comunica al cliente final es que los umbrales deben revisarse periódicamente. El comportamiento del flujo cambia. Un nuevo turno entra en operación. La empresa cambia el código de vestimenta y aparecen más personas con maletines o bolsos voluminosos. Se reubica una sala de reuniones y el patrón de tráfico se reorganiza. Cada uno de estos cambios desplaza ligeramente la distribución estadística del paso normal, y un sistema que no se reajusta se desincroniza. El contrato de mantenimiento debe contemplar esta revisión, no como extra opcional sino como parte del servicio básico.

Reconocimiento, identidad y el límite jurídico

El reconocimiento, en el contexto del control de accesos, abarca un espectro que conviene desglosar para no caer en simplificaciones. En un extremo está el reconocimiento facial uno-a-uno, donde la credencial presenta una identidad y la cámara verifica que el rostro del portador corresponde a esa identidad. En el otro extremo está el reconocimiento facial uno-a-muchos, donde la cámara captura un rostro y lo compara contra una base de datos para identificar a la persona sin necesidad de credencial. Entre ambos extremos hay variantes intermedias, reconocimiento de características no identificativas como rango de altura o presencia de elementos de protección individual, que no constituyen tratamiento de datos biométricos en el sentido estricto del Reglamento General de Protección de Datos.

La AEPD ha emitido criterios reiterados sobre el uso de biometría en el ámbito laboral, y la dirección general es clara, el tratamiento de datos biométricos para identificación unívoca está sometido a las condiciones del artículo nueve del Reglamento, requiere base jurídica reforzada y, en la mayoría de los casos, exige análisis de proporcionalidad y, cuando corresponda, evaluación de impacto. Esto significa que el reconocimiento facial uno-a-muchos no es una herramienta que se enchufe sin más, ni siquiera en una instalación privada con personal propio.

El reconocimiento uno-a-uno, donde la credencial es el primer factor y el rostro el segundo, presenta una situación jurídica más manejable cuando se cumplen condiciones de información, consentimiento informado o base contractual, minimización y conservación limitada. En muchos casos prácticos, no obstante, la solución más razonable es prescindir del reconocimiento facial y resolver la verificación de unicidad mediante analítica de cuerpo sin extracción de rasgos identificativos. El sistema cuenta personas, mide velocidades, detecta posturas, pero no identifica. La decisión sobre si quien cruza es quien dice ser se delega en la credencial, que es lo que la credencial está diseñada para hacer.

Esta arquitectura, credencial para identidad, vídeo para unicidad, es la que recomendamos por defecto en proyectos donde el cliente no tiene una necesidad imperiosa y jurídicamente justificada de identificación biométrica. Es más barata de defender ante la autoridad de control, más fácil de explicar al comité de empresa y más resistente al cambio regulatorio, que en esta materia ha sido constante en los últimos años a nivel español y europeo, con ENISA emitiendo guías sucesivas sobre tratamiento biométrico en sistemas de seguridad física.

Integración con la operación, no instalación aislada

Un sistema anti-tailgating con analítica de vídeo no es un dispositivo que se monta sobre un torno y se olvida. Es una capa que vive dentro de la operación de seguridad del cliente y que, para producir valor, tiene que conversar con el resto de los sistemas. La integración mínima exigible incluye conexión con el sistema de gestión de incidentes, donde cada alerta queda registrada con marca temporal, fragmento de vídeo y categoría. Incluye también conexión con el sistema de control de accesos lógico, donde el evento de tailgating puede correlacionarse con el fichaje de la credencial implicada para la conciliación posterior. Y, en clientes con centro de control veinticuatro horas, incluye escalado al operador con priorización según gravedad.

Esta integración es donde los proyectos fracasan con más frecuencia. El fabricante entrega un dispositivo que funciona en aislamiento. El integrador instala el dispositivo y lo conecta a una pantalla. Nadie se ocupa de que el evento llegue al operador correcto en el formato correcto y con el contexto correcto. El resultado es un sistema que detecta tailgating en tiempo real pero cuyas alertas se acumulan en una bandeja que nadie revisa hasta que un incidente las hace urgentes en retrospectiva.

La arquitectura correcta empieza por el flujo operativo, no por el dispositivo. Antes de elegir cámaras o procesadores, hay que documentar qué pasa cuando se detecta un evento, quién lo recibe, en cuánto tiempo, qué información tiene a su disposición, qué decisión puede tomar, y cómo se registra la decisión para auditoría posterior. Cuando este flujo está claro, la elección del hardware y del software se vuelve casi automática, porque las restricciones operativas filtran las opciones. Cuando este flujo no está claro, cualquier elección de hardware producirá un sistema que técnicamente funciona y operativamente no se usa.

CCN-CERT, en sus guías sobre seguridad física integrada en entornos con tratamiento de información clasificada o sensible, insiste en este punto con una claridad que conviene tomarse en serio. La seguridad física no es un conjunto de dispositivos sino un proceso, y el proceso es lo que se audita, no los dispositivos.

Lo que permanece

El control de accesos seguro en el año en curso no se construye eligiendo entre torno, mantrap o reconocimiento. Se construye combinando una mecánica adecuada al flujo con una capa de analítica de vídeo que verifica unicidad antes y durante el paso, una calibración local que se mantiene en el tiempo, y una integración operativa que asegura que cada evento llega a la persona correcta con la información correcta. Quien se queda en el primer escalón compra mobiliario. Quien sube al segundo compra seguridad.

La sustitución pura del torno por tecnología no es la respuesta. Lo que cambia es la jerarquía. La mecánica deja de ser el sujeto de la frase y pasa a ser el predicado. El sujeto es la analítica, informada por sensores y vídeo, que decide qué información entrega al elemento mecánico y al operador humano. Esta inversión, sutil sobre el papel y profunda en consecuencias prácticas, es la que distingue una instalación de los años dos mil de una instalación construida con la lógica que hoy describe el libro "BOSWAU + KNAUER. Del oficio constructor a la tecnología de seguridad", donde la integración entre hardware, sensórica y analítica deja de ser un argumento de venta y se convierte en el criterio de aceptación.

Para los responsables que han llegado hasta aquí con una instalación heredada y la sospecha de que el tailgating real está por encima de lo que sus partes oficiales reflejan, la conversación útil empieza por una auditoría de tres a cinco días sobre los accesos críticos, con conteo real, revisión de la analítica existente y matriz de recomendaciones priorizadas por impacto. Quien prefiera empezar por un intercambio más abierto, sin trabajo de campo previo, dispone de una conversación confidencial de sesenta minutos con un miembro de la dirección. Quien ya tenga la decisión tomada y quiera validar la solución sobre un acceso concreto antes de escalar, el camino es un piloto de noventa días con métricas definidas antes del comienzo. Los tres caminos están en el libro, descritos con la misma transparencia con la que se han escrito estos párrafos.

Preguntas frecuentes

¿Qué es anti-tailgating?

Anti-tailgating es el conjunto de medidas técnicas y de proceso destinadas a evitar que una segunda persona acceda a una zona controlada aprovechando la apertura legítima realizada por otra. Las medidas combinan elementos mecánicos, como tornos, esclusas o mantraps, con sensores de presencia, sensores de velocidad y, de forma cada vez más extendida, analítica de vídeo basada en visión por computador que cuenta cuerpos y detecta posturas anómalas. El objetivo no es sólo bloquear el paso sino registrar el evento para auditoría posterior y conciliación con sistemas de fichaje y control de accesos lógico.

¿Qué industrias lo usan?

El anti-tailgating con analítica avanzada se utiliza en cualquier instalación donde la conciliación entre credencial y persona física tenga valor operativo o regulatorio. Centros de datos, instalaciones designadas como infraestructura crítica bajo el perímetro CNPIC, plantas de producción farmacéutica, laboratorios, entidades financieras, sedes corporativas con información sensible y centros logísticos con manipulación de mercancía de alto valor son los entornos más habituales. También se aplica en aeropuertos, instalaciones portuarias y edificios de administración pública donde la trazabilidad del acceso es requisito de cumplimiento.

¿Cómo se evita falsa alarma?

La reducción de falsas alarmas combina tres elementos. Primero, la calibración local del modelo de analítica sobre datos reales del cliente, no sobre modelos genéricos del fabricante. Segundo, la verificación cruzada entre fuentes, donde un evento sólo escala a alerta si lo confirman al menos dos sensores independientes, por ejemplo conteo de vídeo y sensor de velocidad. Tercero, el ajuste periódico de umbrales en función de cambios en el flujo del cliente, turnos, código de vestimenta o reubicaciones internas. Sin estos tres elementos, cualquier sistema genera ruido que el operador acaba ignorando.

¿Quién instala?

La instalación seria de un sistema anti-tailgating con analítica de vídeo exige tres roles diferenciados que pueden estar en una o varias organizaciones. El fabricante del hardware y del modelo de analítica, responsable del producto y de su mantenimiento. El integrador de seguridad, responsable de conectar el sistema con el control de accesos, el centro de control y los sistemas de gestión de incidentes del cliente. Y el responsable interno del cliente, que define la política operativa y aprueba los umbrales. Cuando uno de estos tres roles falta o se difumina, el proyecto entrega un sistema técnicamente correcto y operativamente desconectado.