Asegurando construcción de hiperescalar: plan de 24 meses

Un centro de datos hiperescalar no es una obra que se asegura con vallado, foco y vigilante. Es una obra cuyo valor de activo crece de forma exponencial cada semana del calendario, y cuyo riesgo de seguridad cambia de naturaleza cuatro veces durante los veinticuatro meses que separan el primer hormigón de la entrega al operador.

Quien trate la seguridad de un build hiperescalar como una versión ampliada de la seguridad de una nave logística llegará tarde a la fase en que el daño deja de ser sustituible. La sustitución de un transformador robado se mide en semanas. La sustitución de un cuadro eléctrico de media tensión específico, en meses. La sustitución de un módulo de refrigeración líquida personalizado para el cliente final, en trimestres. Y la confianza del hyperscaler, cuando se pierde por un incidente documentado, no vuelve.

La obra hiperescalar como activo en escalada

La primera distinción que conviene fijar es contable, no técnica. Una obra residencial de gama media alcanza su valor máximo de activo el día de la entrega. Una obra industrial estándar tiene una curva de valor que crece de forma lineal con el avance de la construcción. Una obra de centro de datos hiperescalar tiene una curva de valor que se acelera en los últimos seis meses, cuando entran en el recinto los equipos de TI, los sistemas de refrigeración, las baterías, los generadores y los transformadores que representan, en muchos casos, más de la mitad del coste total del proyecto.

Esta forma de curva tiene consecuencias directas sobre el dispositivo de seguridad. En el mes seis, robar de la obra significa llevarse acero corrugado y herramientas eléctricas. En el mes dieciocho, significa llevarse un módulo prefabricado cuyo precio de mercado en grises supera el millón de euros y cuyo plazo de reposición ronda los seis meses. La misma valla, el mismo vigilante y la misma cámara, en ambos momentos, no protegen el mismo activo. Y el operador que no ajusta su dispositivo a esa escalada termina pagando dos veces: una en el incidente y otra en la penalización contractual por retraso en la entrega.

A esto se añade un factor que rara vez se nombra en las reuniones de obra. El hyperscaler, sea cual sea su nombre, audita a su contratista principal con una intensidad que la mayoría de las constructoras nacionales no conocen de otros sectores. La auditoría no se limita a la calidad estructural o al cumplimiento medioambiental. Se extiende a la cadena de custodia de los equipos, al control de accesos del personal, a la trazabilidad de las visitas y a la documentación de los incidentes, por menores que parezcan. Un proveedor que no es capaz de entregar un informe semanal con la granularidad que el cliente exige, queda fuera del siguiente proyecto. Y los siguientes proyectos, en este mercado, vienen en bloques de tres o de cinco.

El punto de partida, por tanto, no es la cuestión de qué tecnología instalar. El punto de partida es el reconocimiento de que la obra hiperescalar es un activo que cambia de naturaleza, y que el dispositivo de seguridad tiene que cambiar con ella. Quien diseña la seguridad como si fuera un contrato anual de vigilancia, ha perdido el proyecto antes de empezar.

Fase uno: movimiento de tierras y losa

Los primeros cuatro a seis meses de una obra hiperescalar son, en términos de seguridad, los más parecidos a cualquier otra obra industrial de gran formato. El perímetro está abierto, el movimiento de maquinaria pesada es constante, los accesos son múltiples y poco diferenciados, y el valor de los activos sobre el terreno es relativamente bajo en relación con lo que vendrá después. Quien mira esta fase con ojos de fase única, despliega lo mínimo: vallado, alguna cámara móvil, dos o tres vigilantes en rotación, iluminación perimetral.

Esa lectura es incompleta por dos razones. La primera es que la fase de tierras y losa fija el patrón de control de accesos que se utilizará durante los veinticuatro meses siguientes. Si en esta fase la entrada de personal se documenta a mano, en una libreta colgada del barracón, y nadie corrige esa práctica, en el mes catorce todavía se estará haciendo así, con la diferencia de que entonces entrarán cuatrocientas personas al día y el cliente exigirá una trazabilidad imposible de reconstruir. La segunda razón es que el reconocimiento previo del recinto, por parte de quien quiera explotar la obra más adelante, ocurre en esta fase, no en las posteriores. El delincuente profesional que en el mes veinte se llevará un módulo de refrigeración, en el mes cuatro estaba cruzando el solar a pie, observando rutas, horarios y puntos ciegos.

La recomendación práctica para esta fase consiste en instalar la columna vertebral del dispositivo desde el primer día, aunque el riesgo aparente sea bajo. Torre móvil de videovigilancia en los puntos cardinales del recinto, con grabación local y conexión a central. Sistema de control de accesos digital, con credencial única por trabajador y registro automático de entradas y salidas. Iluminación inteligente que reacciona a movimiento y que reduce consumo en horas sin actividad. Y, sobre todo, definición escrita del protocolo de seguridad para las fases siguientes, con identificación nominal del responsable en obra y del responsable en la sede de la constructora. Lo que se documenta en el mes dos rara vez se improvisa en el mes veinte. Lo que se improvisa en el mes veinte casi siempre falla.

En términos regulatorios, la AEPD considera el control de accesos digital con captación de imagen y datos personales como un tratamiento que requiere base jurídica documentada y registro de actividades. La constructora que no aborda esta cuestión en la fase de tierras descubre, en la fase de fit-out, que su sistema de control de accesos no cumple, que el cliente lo audita y que la subsanación cuesta varias veces lo que habría costado hacerlo bien desde el principio.

Fase dos: estructura, fachada y envolvente

Los meses siete a doce son, en la mayoría de los proyectos hiperescalares en territorio español, la fase de mayor presencia humana en obra. Subcontratas de estructura metálica, fachada, cubiertas, impermeabilizaciones y carpinterías exteriores conviven con los equipos de instalaciones que ya empiezan a meter trazados. La rotación de personal es alta, las nacionalidades son varias, los idiomas también, y la presión de plazo se nota en cada reunión de coordinación. Es la fase en la que más fácil resulta perder el control del perímetro sin que nadie en obra lo perciba como un fallo.

El riesgo dominante en esta fase no es el robo, aunque el robo de cobre y de materiales aislantes sigue presente. El riesgo dominante es la pérdida de trazabilidad. Un trabajador que entra con credencial prestada, una subcontrata que mete a un operario sin dar de alta, una visita comercial que se pasea sin acompañamiento, una furgoneta que entra al patio de acopio sin albarán. Cada uno de estos episodios, aislado, parece menor. Acumulados a lo largo de seis meses, configuran un dispositivo poroso que ningún cuadro de mando puede corregir a posteriori.

La videoanalítica aplicada en esta fase tiene un papel concreto y delimitado. No sustituye al vigilante, pero le permite cubrir varios puntos a la vez y le devuelve la atención sobre los eventos que realmente la requieren. Reconocimiento de matrículas en los accesos rodados, conteo de personas en zonas restringidas, detección de presencia en horario no laboral, identificación de objetos abandonados en zonas críticas. Cada una de estas funciones, integrada con el sistema de control de accesos, reduce el número de incidentes que llegan al vigilante y aumenta la calidad de su intervención cuando llegan. INCIBE y el CCN-CERT publican periódicamente guías sobre la integración segura de estos sistemas, en particular en lo relativo a la segmentación de redes y a la protección de los datos generados, que conviene incorporar al pliego antes de la compra, no después.

La envolvente del edificio, una vez cerrada, modifica también la lógica de seguridad. Lo que antes era un perímetro abierto pasa a ser un perímetro doble: exterior del recinto e interior del edificio. Las puertas, las esclusas, los pasos hombre y los huecos de instalaciones se convierten en los puntos críticos. La detección de intrusión perimetral basada en infrarrojos, cable enterrado o radar, según el tipo de cerramiento, se complementa con detección volumétrica en el interior. Y el sistema de gestión central tiene que ser capaz de discriminar entre la alarma técnica, el falso positivo y el evento real, porque a partir de esta fase los falsos positivos no son una molestia, son un coste operativo medible.

Fase tres: instalaciones y MEP

A partir del mes trece, la obra cambia de cara. Los oficios estructurales se van retirando, entran los equipos especializados en mecánica, eléctrica y fontanería, y empiezan a llegar al recinto los primeros equipos de alto valor. Cuadros eléctricos de media y alta tensión, transformadores, grupos electrógenos, sistemas de UPS, unidades de tratamiento de aire, enfriadoras. La mayoría de estos equipos llegan en camiones especiales, se descargan con grúas dedicadas, se acopian en zonas concretas y permanecen semanas o meses en obra antes de ser conectados.

Esta es la fase en la que el dispositivo de seguridad pasa de ser una capa horizontal sobre todo el recinto a ser un sistema de capas concéntricas alrededor de los activos críticos. El perímetro exterior sigue activo, pero a su lado se montan perímetros internos que aíslan las salas de equipos, los patios de transformadores y las zonas de acopio. Cada uno de estos perímetros internos tiene su propio control de accesos, su propia videovigilancia, su propia detección, y su propio protocolo de respuesta. Y el conjunto se gestiona desde un centro de control en obra, no desde una central remota, porque los tiempos de respuesta que el cliente exige no son compatibles con la respuesta clásica de alarma a central a patrulla.

El robot de seguridad encuentra en esta fase su aplicación más rentable. Una unidad móvil que recorre rutas mixtas, programadas y aleatorias, por el interior del recinto, con capacidad de detección térmica y visual, multiplica la cobertura del vigilante humano sin sustituirlo. En las primeras horas de la madrugada, cuando la atención humana cae estadísticamente, el robot mantiene la cadencia. En los patios de transformadores, donde el riesgo eléctrico desaconseja la presencia humana prolongada, el robot sustituye la ronda. Y en los acopios de equipos, donde el cliente exige cobertura veinticuatro horas con registro auditable, el robot aporta el registro sin disparar el coste de personal.

La AEPD ha emitido criterios sobre el uso de robots con captación de imagen en espacios laborales que conviene consultar en detalle. La regla general es que la información al trabajador, la base jurídica y la minimización de datos se aplican igual que en cualquier otro sistema de videovigilancia, con la particularidad de que la movilidad del dispositivo exige una señalización dinámica, no solo estática. Quien instala robots de seguridad sin abordar esta cuestión, tiene un problema regulatorio que aparece en el primer incidente con relevancia jurídica.

Fase cuatro: fit-out y comisionado

Los últimos seis meses son los más exigentes. Entran al recinto los racks, los servidores, los sistemas de cableado estructurado, los equipos del cliente final. La obra civil ya está terminada, pero el centro de datos todavía no opera. Es una zona gris contractual y técnica, en la que la responsabilidad de la seguridad se reparte entre la constructora, el operador y, en muchos casos, el propio hyperscaler. Y es también la fase en la que el valor del activo en obra alcanza su máximo absoluto.

El control de accesos en esta fase deja de ser un sistema de identificación y pasa a ser un sistema de autorización por capas. Quién entra al recinto, quién entra al edificio, quién entra a la sala blanca, quién entra al pasillo frío, quién toca el rack. Cada nivel de acceso tiene su propio criterio de autorización, su propio registro y su propio responsable. La integración con el sistema del cliente final, que en muchos casos exige tecnologías biométricas y dispositivos certificados, es una negociación técnica y jurídica que conviene haber resuelto en el mes doce, no en el mes veintidós.

El comisionado introduce además una complicación adicional. Durante semanas, técnicos del fabricante de cada subsistema entran al recinto para arrancar, probar y certificar los equipos. La mayoría son extranjeros, muchos no han sido dados de alta en el sistema de la constructora, y los plazos en que el cliente exige tenerlos operativos no permiten la tramitación clásica. El dispositivo de seguridad tiene que ser capaz de absorber esta variabilidad sin abrir agujeros. El control de accesos temporales, con caducidad automática, acompañamiento obligatorio y registro reforzado, es la solución estándar. Quien no lo tiene preparado, improvisa, y la improvisación deja huellas que el auditor del cliente encuentra después.

CNPIC, en el marco de su competencia sobre infraestructuras críticas y su nueva proyección sobre infraestructuras esenciales, está prestando atención creciente a los centros de datos de gran escala. La consideración de un centro de datos como infraestructura crítica no es automática, pero los criterios de protección que se aplican en la fase de comisionado se acercan progresivamente a los que se exigen a una infraestructura ya declarada. La constructora que diseña su dispositivo de seguridad pensando solo en la fase de obra, sin anticipar la transición a la fase de operación, pierde la oportunidad de entregar al cliente un sistema continuo. Y los sistemas continuos son los que el cliente valora, porque le ahorran a él la transición.

La coordinación como tecnología

Hay un elemento que no aparece en los catálogos de los fabricantes ni en los pliegos de los clientes, y que sin embargo determina el éxito o el fracaso del dispositivo de seguridad de un hiperescalar. Ese elemento es la coordinación. La coordinación entre el director de obra, el responsable de seguridad de la constructora, el responsable de seguridad del cliente, el cuerpo de vigilancia subcontratado, el proveedor tecnológico, el proveedor del control de accesos, los subcontratistas, los técnicos del comisionado y, cuando procede, las fuerzas y cuerpos de seguridad del Estado y la autoridad local.

Cada uno de estos actores tiene su propio protocolo, su propia jerarquía, sus propios horarios y sus propias prioridades. La seguridad del proyecto depende menos de la calidad individual de cada uno y más de la calidad de la interfaz entre todos ellos. Y esa interfaz, en la mayoría de los proyectos, no está formalizada. Existe en forma de reuniones recurrentes, de grupos de mensajería y de relaciones personales entre los responsables. Cuando uno de los responsables cambia, la interfaz se desestructura. Cuando hay un incidente, la interfaz se sobrecarga. Cuando el cliente audita, la interfaz no se puede mostrar como evidencia.

La respuesta a este problema, en proyectos serios, es la creación de una matriz de responsabilidad documentada, con identificación nominal por función, con calendarios de reuniones formales y con un repositorio único de incidentes y de decisiones. La matriz no sustituye a las relaciones personales, las complementa. Pero permite que, ante una rotación o ante una auditoría, el sistema sea legible para alguien que no estaba presente cuando se diseñó. Esa legibilidad es, en términos prácticos, lo que separa un dispositivo de seguridad maduro de uno improvisado.

Unespa, en sus informes sobre siniestralidad en obra civil, recoge de forma reiterada que la mayor parte de los siniestros con coste relevante en proyectos complejos se asocian no a un fallo técnico aislado sino a una secuencia de fallos de coordinación. La tecnología de seguridad, por sofisticada que sea, no compensa esa carencia. Y la coordinación, por buena que sea, no compensa la falta de tecnología. Las dos se necesitan, y las dos se diseñan al mismo tiempo. En el libro "BOSWAU + KNAUER. Del oficio constructor a la tecnología de seguridad" se desarrolla esta tesis con detalle, a partir de la experiencia propia de la casa en proyectos industriales de gran formato.

Lo que permanece

Asegurar la construcción de un centro de datos hiperescalar a lo largo de veinticuatro meses no es un problema de elección de cámaras, de robots o de vallado. Es un problema de arquitectura de seguridad por fases, en el que cada fase tiene su lógica propia, su valor de activo, su perfil de riesgo y su exigencia documental. Quien diseña el dispositivo desde el principio con esta lectura, entrega al cliente un proyecto que se audita en un día y se hereda al operador sin fricciones. Quien lo improvisa, paga la diferencia en penalizaciones, en seguros y en la pérdida del próximo proyecto.

La industria española de la construcción tiene la capacidad técnica para abordar este tipo de obras. Lo que todavía está consolidándose es la capacidad de articular la seguridad como una capa transversal, presente desde el primer movimiento de tierras hasta el último día de comisionado, y diseñada para sobrevivir a la rotación de personal, a la entrada de subcontratas y a las exigencias variables del cliente final. Esa capacidad no se compra, se construye, y se construye con tiempo.

Para constructoras que están abordando, o se preparan para abordar, su primer o su segundo proyecto hiperescalar, el camino más práctico es la conversación confidencial de sesenta minutos en la que se contrasta la situación real con un interlocutor que ha visto otros proyectos comparables. De esa conversación sale, en muchos casos, la decisión de pasar a una auditoría de tres a cinco días sobre el dispositivo previsto o ya desplegado. Y, cuando la auditoría identifica un punto concreto en el que la tecnología puede cambiar el resultado, un piloto de noventa días permite medir el efecto sin comprometer el resto del proyecto. Los tres caminos están descritos con detalle en el libro citado, y los tres están disponibles para los operadores que reconocen que el coste de no decidir es más alto que el coste de cualquiera de las decisiones.

Preguntas frecuentes

¿Qué hace diferente?

La curva de valor del activo. Un centro de datos hiperescalar concentra más de la mitad de su coste en los últimos seis meses de obra, cuando entran equipos críticos cuyo plazo de reposición se mide en trimestres. Esa concentración cambia el perfil de riesgo cada cuatro o cinco meses, exige un dispositivo de seguridad por capas concéntricas, no horizontal, y obliga a coordinar a la constructora, al operador y al cliente final con un nivel de formalización que la mayoría de proyectos industriales no requieren. Quien aplica el modelo de seguridad de una nave logística, falla.

¿Cuándo se aprietan?

Las exigencias del cliente final se intensifican a partir del mes trece, cuando empiezan a llegar los primeros equipos de alto valor, y alcanzan su máximo en los últimos seis meses, durante el fit-out y el comisionado. En esa fase, el control de accesos pasa de identificar a autorizar por capas, la trazabilidad documental se audita semanalmente, y los técnicos del fabricante de cada subsistema entran al recinto sin haber pasado por los procedimientos clásicos de alta. El dispositivo tiene que estar preparado para absorber esa variabilidad sin abrir agujeros.

¿Quién coordina?

La coordinación recae formalmente en el director de obra y en el responsable de seguridad de la constructora, pero la calidad de la coordinación depende de la matriz de responsabilidad documentada que conecte a constructora, operador, cliente final, vigilancia subcontratada, proveedor tecnológico, subcontratistas, técnicos de comisionado y autoridades. Sin esa matriz, la coordinación existe en relaciones personales que se pierden con la primera rotación. Con la matriz, el dispositivo es legible para un auditor, para un sucesor y para un cuerpo de seguridad del Estado que tenga que intervenir.

¿Cuál es la regla de presupuesto?

En proyectos hiperescalares serios, el presupuesto de seguridad por fases no se calcula como un porcentaje fijo del coste de obra, sino como un porcentaje variable del valor del activo presente en obra en cada fase. En las primeras fases, la cifra es baja en términos absolutos. En las últimas, donde se concentra el grueso del valor, la inversión en seguridad puede multiplicarse por cuatro o cinco respecto al inicio. Quien presupuesta una cifra plana para los veinticuatro meses, sobreinvierte al principio y subinvierte cuando más importa.