Espionaje industrial y secretos comerciales: lo que CNI advierte

El espionaje industrial no es una sospecha paranoica del director de planta, es una categoría operativa que la inteligencia oficial española documenta con regularidad creciente y que toca, en primer lugar, a quienes guardan know-how que vale más que el edificio que lo contiene.

Conviene fijar la tesis antes de avanzar. Cuando el Centro Nacional de Inteligencia incluye en sus informes anuales la captación de información económica, tecnológica y científica como amenaza prioritaria, no está describiendo un riesgo difuso. Está describiendo un patrón con autores, métodos, sectores objetivo y consecuencias medibles. La conversación que sigue parte de esa lectura, no de una hipótesis. Y se dirige a quienes, desde la dirección de una planta industrial, una constructora con cartera tecnológica o un operador logístico con datos de cliente, tienen la obligación de proteger lo que la cuenta de resultados no llega a inventariar.

Lo que la inteligencia oficial viene diciendo

El CNI, a través del Centro Criptológico Nacional y del CCN-CERT, ha sostenido en sus memorias e informes públicos de los últimos ejercicios una observación consistente. España es destino de operaciones de captación que combinan actores estatales, actores semipúblicos vinculados a programas de inteligencia económica de terceros países, y actores privados que actúan por encargo. La frase importa porque la respuesta cambia según el actor. Frente a un competidor que paga a un técnico descontento, la defensa es contractual y de control interno. Frente a un servicio extranjero que coloca un cuadro durante años en una filial, la defensa es de inteligencia y de contrainteligencia, y ahí el operador privado depende del Estado.

La memoria del CCN-CERT viene registrando incrementos sostenidos de incidentes con clasificación alta y muy alta en sectores que coinciden con la matriz de servicios esenciales. No son cifras que admitan ser citadas con falsa precisión, porque la propia institución es cuidadosa al publicarlas, pero la dirección es inequívoca. Lo que hace cinco años era una amenaza descrita en términos genéricos hoy es una amenaza descrita por sector, por familia de software comprometido y, en algunos casos, por origen geográfico probable. ENISA, en el plano europeo, ha sostenido una observación paralela en sus informes anuales sobre el panorama de amenazas, con especial atención al espionaje contra cadenas de suministro y proveedores de servicios gestionados.

La lectura que un industrial debe hacer de estos documentos no es la del analista. Es la del comprador. ¿Qué de lo que el CNI describe está ocurriendo en mi sector, en mi país, en mi tipo de instalación? ¿Qué de lo que el CCN-CERT publica afecta a las familias de equipo que tengo desplegadas? ¿Qué de lo que ENISA cataloga se corresponde con la configuración de mi red OT? Quien no traduce las publicaciones oficiales a su realidad operativa termina leyéndolas como literatura, y la literatura no protege secretos comerciales.

Hay un segundo punto que la lectura desatenta deja pasar. La inteligencia oficial española no describe el espionaje industrial como un problema cibernético, sino como un problema híbrido. La intrusión digital es una vía, no la única. La captación de personas sigue siendo la vía dominante en sectores donde el conocimiento crítico vive en la cabeza de pocos, no en servidores. Y la captación de personas requiere una respuesta que no se compra en catálogo de seguridad informática.

Sectores que aparecen una y otra vez en los informes

Los informes públicos, leídos con atención durante varios ejercicios consecutivos, dibujan un mapa relativamente estable de sectores objetivo. Energía, en sus tres capas, generación, transporte y distribución, con especial interés por las tecnologías de gestión de red y por los desarrollos en renovables a escala industrial. Defensa y aeroespacial, donde el interés es evidente y la legislación de control de exportaciones añade una capa que el CNI sigue con detalle. Farmacia y biotecnología, sobre todo en las fases de investigación clínica y de producción de principios activos, donde un compuesto puede valer una década de inversión. Tecnologías de la información y comunicaciones avanzadas, con foco en semiconductores, computación cuántica, criptografía y desarrollos de inteligencia artificial con uso dual. Agua y tratamiento, una categoría tradicionalmente subestimada que en los últimos años ha ganado peso por su carácter crítico. Transporte e infraestructuras logísticas, con interés operacional más que de propiedad intelectual.

A esa lista, que coincide en buena medida con la matriz de sectores estratégicos del CNPIC, hay que sumar dos categorías que aparecen con frecuencia y que rara vez se autoidentifican como objetivo. La primera es la industria manufacturera de gama media, con procesos productivos optimizados durante décadas, cuyo know-how está documentado de manera dispersa y cuya valoración por un competidor extranjero puede superar el valor contable de la empresa. La segunda es la cadena de proveedores de los grandes contratistas de defensa, energía y telecomunicaciones, donde la captación se hace por vía indirecta porque la matriz está mejor protegida que el proveedor de nicho.

El operador que se reconoce en alguno de estos perfiles debe asumir tres consecuencias prácticas. La primera, que su sector tiene una probabilidad de incidente que no se calcula sobre la base histórica de su empresa, sino sobre la base sectorial publicada por las autoridades. La segunda, que las pólizas de seguro que cubren ciberincidentes están reescribiendo sus condiciones para excluir o limitar la cobertura de ataques atribuibles a actores estatales, y eso desplaza el coste residual al balance del asegurado. La tercera, que la información que protege no es solo la marcada como confidencial, sino también la que en conjunto permite reconstruir un proceso, una decisión o una cadena de proveedores. La inteligencia opera por agregación, no por documento singular.

Cómo entra el adversario cuando entra

El relato dominante en prensa sigue siendo el del ciberataque espectacular, con su nota de rescate y su sala de crisis. La realidad operativa que describen el CCN-CERT y, en el plano europeo, ENISA, es menos cinematográfica y más persistente. Los vectores que con mayor frecuencia aparecen en los informes son cuatro, y los cuatro merecen ser entendidos por la dirección, no solo por el responsable de sistemas.

El primero es la cadena de suministro de software. El adversario no ataca a la empresa objetivo, ataca a un proveedor de software o de servicios gestionados que tiene acceso legítimo a sus sistemas. Cuando la actualización envenenada llega, llega firmada y por el canal correcto. La defensa exige inventario riguroso de proveedores con acceso, segmentación de privilegios y verificación independiente de actualizaciones críticas. La mayoría de los industriales que conozco no tiene ese inventario completo.

El segundo es la captación interna, que sigue siendo la vía más eficiente cuando el conocimiento crítico vive en personas. Un técnico en proceso de jubilación, un ingeniero en disputa salarial, un comercial con acceso a listados de cliente y márgenes. El CNI ha descrito en términos generales operaciones de captación que se extienden durante meses, con un perfil que recuerda al reclutamiento de fuentes humanas en otros ámbitos. La defensa aquí es la cultura interna, los procedimientos de salida, el control de accesos y, en su caso, el contrato con cláusulas que la jurisdicción reconoce.

El tercero es el acceso físico. Una visita comercial bien preparada, un proveedor de mantenimiento con credenciales que nadie revisa, una delegación extranjera con itinerario aprobado por la propia empresa. La cámara con cobertura del perímetro y del acceso administrativo, el control de visitas con registro biométrico cuando procede, la prohibición efectiva de dispositivos personales en zonas sensibles, son medidas que la legislación española permite con margen y que muchas empresas no aplican por inercia.

El cuarto es la ingeniería social digital, con campañas dirigidas que han evolucionado mucho más allá del correo de phishing genérico. Hoy se preparan con información extraída de redes profesionales, de filtraciones previas y, en algunos casos, de observación durante meses. El correo que llega no es sospechoso. Lo es la cuenta que lo manda, si alguien la verifica.

Lo que un operador puede hacer, en serio

La conversación sobre contramedidas sufre de dos vicios. El primero, la enumeración de buenas prácticas que ningún operador discute pero pocos implementan con disciplina. El segundo, la presentación de soluciones tecnológicas como sustituto de la decisión organizativa. Conviene ordenar lo que sí funciona, en términos que un comité de dirección puede acometer en un plazo razonable.

La clasificación efectiva de la información es el primer paso, no el más sofisticado pero sí el más postergado. Saber qué activos de información existen, dónde residen, quién tiene acceso y por qué, es la base sobre la que todo lo demás se construye. La AEPD, en el ámbito de datos personales, y el CCN en el ámbito de información clasificada y sensible, ofrecen marcos que se pueden adoptar sin reinventar nada. La adopción exige tiempo y exige decisiones impopulares sobre quién pierde accesos que tenía por costumbre. Pocos consejos quieren esa conversación.

La segmentación entre IT y OT es la segunda decisión estructural. La planta industrial moderna conecta sistemas de control con redes corporativas por motivos legítimos, y esa conexión es la que un atacante con paciencia explota. La separación física, donde sea posible, y la separación lógica con verificación independiente, donde no lo sea, es una inversión que reduce el espacio de maniobra del adversario de manera sustantiva. INCIBE, a través de su servicio sectorial para operadores industriales, ofrece marcos de referencia que permiten autoevaluación sin contratar consultoría externa.

La gestión del perímetro físico merece más atención de la que recibe en un debate dominado por lo cibernético. Un sistema de videovigilancia con analítica seria, capaz de distinguir patrones de movimiento anómalos durante horas no operativas, combinado con control de accesos biométrico en áreas sensibles y con presencia humana cualificada en los puntos donde la decisión sigue siendo humana, sigue siendo la barrera que más ataques detiene antes de que se vuelvan incidentes. El operador que invierte en analítica de vídeo seria, en sistemas robóticos de vigilancia perimetral y en plataformas de gestión integradas obtiene una capa de protección que el adversario tiene que rodear, y rodearla deja huella. En el libro "BOSWAU + KNAUER. Del oficio constructor a la tecnología de seguridad" se desarrolla esta lógica con detalle, partiendo de la observación de que la disuasión visible sigue siendo la forma más eficiente de seguridad, porque actúa antes de que el hecho ocurra.

Las relaciones con personal, proveedores y visitantes son el ámbito donde más se gana con menos inversión. Procedimientos de incorporación y salida que incluyan revisión de accesos, formación periódica con casos reales y no con vídeos genéricos, canal interno de comunicación que permita reportar conductas anómalas sin convertirse en delación, contratos de confidencialidad que un juez español reconozca como ejecutables. Nada de esto requiere tecnología nueva. Requiere voluntad organizativa.

La relación con las autoridades es la pieza que la mayoría de industriales subestima. El CCN-CERT atiende a operadores designados como críticos y, dentro de sus capacidades, a otros operadores en función de la gravedad del incidente. INCIBE atiende al tejido industrial general con un nivel de servicio que ha mejorado de manera notable. La Oficina Nacional de Seguridad coordina cuando hay información clasificada implicada. Conocer estos puntos de contacto antes del incidente, ensayarlos en simulacros y mantener un canal informal con los responsables sectoriales no es burocracia, es preparación.

Quién asesora la planta y por qué importa la diferencia

El mercado de la consultoría en seguridad industrial es desigual. Hay despachos serios, hay integradores con experiencia real y hay vendedores de soluciones que han descubierto la palabra "ciber" hace tres ejercicios. La diferencia no se ve en el folleto, se ve en el segundo día del trabajo, cuando se pregunta por la metodología de evaluación, por la experiencia previa en el sector concreto, por la capacidad de articular tecnología, organización y relación con las autoridades en una sola propuesta.

El operador que busca asesoramiento debe distinguir tres roles que no son intercambiables. El primer rol es el del evaluador independiente, que entra, mira, escucha y emite un diagnóstico que el operador puede usar con o sin él. Este rol no debe ser desempeñado por quien después va a vender la solución, porque el conflicto de interés vicia el diagnóstico. El segundo rol es el del integrador, que diseña e implanta la arquitectura técnica de seguridad, desde la analítica de vídeo hasta la segmentación de red, pasando por los procedimientos de operación. El tercer rol es el del operador de servicios gestionados, que se hace cargo de la vigilancia continua del sistema una vez desplegado.

Mezclar estos tres roles en un solo proveedor es habitual en el mercado y rara vez funciona bien para el cliente. La práctica que recomiendo, y que en BOSWAU + KNAUER aplicamos cuando trabajamos con operadores industriales, es separar el diagnóstico de la implantación, y separar la implantación de la operación continua, manteniendo siempre la titularidad técnica y documental del lado del cliente. Quien externaliza la seguridad por completo pierde el control de su propia situación, y eso es exactamente lo que el adversario busca.

La planta industrial española típica necesita, en este orden, un diagnóstico independiente que mida su exposición real frente al patrón de amenaza que las autoridades documentan, un plan de implantación que combine medidas físicas, lógicas, organizativas y de relación institucional, y una capacidad de operación continua que detecte desviaciones antes de que se conviertan en incidentes con consecuencia. Quien venda menos que esto está vendiendo una parte. Quien venda más, está vendiendo aire.

Lo que permanece

El espionaje industrial no es un riesgo emergente, es un riesgo persistente que el Estado español documenta con creciente nitidez y que el operador privado tiende a infravalorar hasta que sufre la primera consecuencia visible. Para entonces, lo perdido es difícilmente recuperable, porque la información, una vez fuera, no se devuelve.

La respuesta seria parte de una lectura honesta de los informes públicos del CNI, del CCN-CERT, de INCIBE y de ENISA, y traduce esa lectura a la realidad concreta de la instalación. La respuesta seria combina medidas técnicas, organizativas y de relación con las autoridades, sin externalizar el juicio crítico a ningún proveedor único. Y la respuesta seria empieza por un diagnóstico independiente, antes de cualquier decisión de compra.

Para los operadores que reconocen en este artículo una descripción de su situación, el camino más rápido es una conversación confidencial de sesenta minutos en la que se traza un primer mapa de exposición y se identifican las dos o tres decisiones que el consejo debe acometer en el próximo trimestre. Para quienes prefieren empezar con un diagnóstico de mayor profundidad, una auditoría de tres a cinco días sobre la instalación, con entregable escrito y utilizable con o sin nuestra continuidad, es el formato adecuado. Lo que no es adecuado es seguir leyendo informes oficiales como si describieran un fenómeno que ocurre a otros.

Preguntas frecuentes

¿Qué dice el CNI?

El Centro Nacional de Inteligencia, a través de sus memorias públicas y del trabajo del Centro Criptológico Nacional, viene documentando de manera consistente que España es destino de operaciones de captación de información económica, científica y tecnológica que combinan actores estatales, semipúblicos y privados. Los informes señalan tendencia creciente en sectores estratégicos, con vectores que van desde la intrusión digital a la captación de personal interno. La lectura oficial es que el espionaje industrial es una amenaza híbrida y persistente, no un riesgo aislado, y que requiere respuesta coordinada entre operador privado y autoridad pública.

¿Qué sectores más diana?

Los sectores que aparecen con mayor frecuencia en los informes oficiales son energía en sus tres capas, defensa y aeroespacial, farmacia y biotecnología, tecnologías de información avanzadas con foco en semiconductores, criptografía e inteligencia artificial dual, agua y tratamiento, y transporte e infraestructuras logísticas. A esa lista hay que sumar la manufactura de gama media con procesos optimizados durante décadas y la cadena de proveedores de los grandes contratistas, donde la captación se hace por vía indirecta porque la matriz está mejor protegida que el proveedor especializado.

¿Qué contramedidas ayudan?

Las contramedidas efectivas combinan cinco capas. Clasificación rigurosa de la información sensible con control de accesos verificable. Segmentación entre redes corporativas y sistemas de control industrial, con verificación independiente de las pasarelas. Gestión del perímetro físico mediante videovigilancia con analítica seria, control de accesos biométrico y vigilancia humana cualificada en puntos críticos. Procedimientos de personal que cubran incorporación, salida y formación periódica con casos reales. Relación operativa con CCN-CERT, INCIBE y autoridades sectoriales antes del incidente, ensayada en simulacros, no improvisada en crisis.

¿Quién asesora plantas?

El mercado ofrece tres roles que conviene no confundir. El evaluador independiente diagnostica exposición sin vender después la solución. El integrador diseña e implanta la arquitectura técnica y organizativa. El operador de servicios gestionados se hace cargo de la vigilancia continua del sistema desplegado. La práctica recomendable separa estos roles para evitar conflicto de interés y mantiene la titularidad técnica del lado del cliente. En BOSWAU + KNAUER trabajamos en los tres ámbitos pero con la disciplina de no mezclar el diagnóstico con la propuesta comercial, porque esa separación es la que protege al operador de comprar lo que no necesita.