Seguridad de infraestructuras críticas en México: el papel del CNI

En México, la seguridad de la infraestructura crítica no se decide en el perímetro de la planta, se decide en el momento en que esa planta cruza un umbral de relevancia nacional y entra en el radar del Centro Nacional de Inteligencia. Quien no entiende ese cambio de plano sigue gestionando vigilancia. Quien lo entiende empieza a gestionar Estado.

La distinción es áspera y conviene formularla así desde el inicio. Un operador industrial mexicano puede tener cámaras, casetas, rondines y un contrato con una empresa privada de seguridad, y aun así estar fuera de la conversación que importa, la que se sostiene entre la Secretaría de Seguridad y Protección Ciudadana, el Centro Nacional de Inteligencia y, según el sector, el regulador correspondiente. En esa conversación se decide qué se considera infraestructura crítica, qué se reporta, qué se protege con apoyo del Estado y qué queda como riesgo propio del operador. El fabricante de tecnología que entra a México sin haber leído esa frontera entrega productos. El fabricante que la lee entrega capacidad.

Por qué el modelo mexicano se lee distinto al europeo

El operador europeo está acostumbrado a una arquitectura regulatoria explícita. En España, el CNPIC publica catálogos sectoriales, el INCIBE traza la ciberseguridad industrial, la AEPD encuadra el tratamiento de datos y la directiva NIS2 marca el suelo común. La conversación es densa pero declarada. En México la lógica es distinta. El Centro Nacional de Inteligencia, sucesor del antiguo CISEN bajo la reorganización de la SSPC, opera desde una tradición que mezcla inteligencia civil, coordinación interinstitucional y discreción operativa. No publica un catálogo de operadores críticos en el sentido en el que lo hace el CNPIC. Trabaja por interlocución, por sector y por umbrales que se reconocen cuando se cruzan, no cuando se anuncian.

Esto tiene una consecuencia práctica para el operador y para el fabricante. La ausencia de un listado público no significa ausencia de marco. Significa que el marco se construye en la relación, en el reporte sectorial, en la coordinación con Pemex, con la Comisión Federal de Electricidad, con el sector financiero a través de la CNBV, con el sector telecomunicaciones a través del IFT, y con la SSPC cuando el cruce involucra seguridad pública. Un operador mexicano que se sienta en esa mesa tiene obligaciones que no aparecen en su contrato de seguridad privada. Tiene que documentar, tiene que reportar, tiene que tolerar inspecciones y tiene que sostener una capacidad técnica que aguante el escrutinio de inteligencia. Esa capacidad no se improvisa el día del incidente. Se construye antes, con tecnología que el regulador y el cliente pueden auditar de forma independiente.

Para el fabricante que viene de la tradición alemana o española, la traducción es exigente. No basta con cumplir la norma europea y suponer que se proyecta. El operador mexicano no compra el sello. Compra la evidencia operativa de que el sistema funciona bajo condiciones que aquí se llaman distinto. La conversación con un director de seguridad de una refinería en Tula o con un responsable de continuidad operativa en un centro de datos en Querétaro no empieza por la ficha técnica. Empieza por la pregunta de si la solución resiste una visita no anunciada del CNI, una auditoría del regulador sectorial y un reporte a la SSPC en menos de setenta y dos horas. Si no resiste eso, la conversación termina antes de empezar.

Qué hace el CNI y dónde no llega su brazo

El Centro Nacional de Inteligencia no opera como policía y no opera como fuerza de despliegue. Su función es producir y coordinar inteligencia estratégica que permita al Estado mexicano anticipar amenazas a la seguridad nacional, y la infraestructura crítica entra en esa definición por la vía del riesgo sistémico. Una refinería sabotaada, un nodo de telecomunicaciones interrumpido, una subestación eléctrica neutralizada, un centro logístico bloqueado en frontera, todos son eventos que pueden escalar de incidente operativo a problema de Estado en cuestión de horas. El CNI no protege la planta. Lee la planta dentro de un mapa más grande, identifica patrones, conecta señales débiles y coordina la respuesta entre la SSPC, las fuerzas armadas cuando corresponde, y los reguladores sectoriales.

Esa función tiene un límite claro y conviene nombrarlo. El CNI no sustituye al operador. No instala cámaras, no contrata vigilantes, no opera sistemas de control de acceso. La protección operativa sigue siendo responsabilidad del titular de la infraestructura, sea pública como Pemex y la CFE, sea concesionada como las telecomunicaciones, sea privada como los grandes centros logísticos y los parques industriales del Bajío y del norte. Lo que cambia con la entrada del CNI en el cuadro es la naturaleza del estándar. Ya no basta con que el operador se sienta tranquilo. Tiene que poder demostrar, ante una pregunta del Estado, que su sistema de protección tiene cobertura, registro, capacidad de respuesta y trazabilidad. La trazabilidad es la palabra clave. En el modelo mexicano, el operador que no puede reconstruir lo que pasó pierde el control de la narrativa y, con ella, el control del incidente.

Aquí es donde el fabricante de tecnología tiene un papel que va más allá del producto. La cámara que no registra con tiempo y geolocalización fiables es un problema. El sistema de videoanálisis que no puede exportar evidencia en formatos verificables es un problema. El robot de patrullaje que no documenta su ruta y sus detecciones de forma auditable es un problema. La conversación con el CNI, cuando ocurre, exige un nivel de evidencia que la mayoría de los catálogos de seguridad privada en México no entregan por defecto. El operador serio lo sabe y lo pide. El operador que todavía no lo sabe lo aprenderá en el primer incidente que escale, y entonces la inversión llega tarde.

Los umbrales que convierten una instalación en crítica

La pregunta sobre qué hace que una instalación sea crítica admite varias respuestas y conviene separarlas. La primera respuesta es sectorial. Energía, agua, telecomunicaciones, transporte, sistema financiero, salud, alimentación y sectores estratégicos como el petrolero y el eléctrico tienen una presunción de criticidad por su función en la economía y en la vida cotidiana. Una refinería de Pemex, una hidroeléctrica de la CFE, un nodo principal de la red de fibra de un operador nacional, una terminal portuaria del Pacífico o del Golfo, un centro de switching financiero, todos cruzan ese umbral por definición funcional.

La segunda respuesta es de escala. Dentro de cada sector, el umbral se cruza cuando la interrupción de una instalación particular tiene capacidad de propagar daño más allá de su perímetro inmediato. No toda subestación eléctrica es crítica en el mismo grado. La que alimenta un corredor industrial completo o un hospital de tercer nivel tiene un peso distinto a la que sirve a un fraccionamiento residencial. No toda planta de tratamiento de agua es crítica en el mismo grado. La que suministra a una zona metropolitana de varios millones tiene un peso distinto a la que sirve a un municipio rural. El umbral es funcional, no nominal.

La tercera respuesta es de cadena. Cada vez con más fuerza, los reguladores y los servicios de inteligencia leen criticidad en términos de dependencia. Un centro de datos que aloja servicios financieros para varios bancos es crítico aunque su placa diga sólo proveedor de hosting. Un operador logístico que mueve un porcentaje significativo del comercio exterior por un cruce fronterizo concreto es crítico aunque su giro sea privado. Una planta de gas que alimenta a su vez a varias plantas eléctricas es crítica por encadenamiento, no por tamaño individual. La inteligencia moderna piensa en grafos, no en listas, y el CNI mexicano ha ido adoptando esa lectura.

Para el operador, esto significa que la pregunta correcta no es si su instalación está en algún catálogo. La pregunta correcta es qué cae si su instalación cae. Si la respuesta involucra servicios públicos esenciales, cadenas de suministro nacionales o regionales, o sistemas financieros, el operador está dentro del perímetro funcional de la infraestructura crítica aunque nadie se lo haya notificado por escrito. Y la inversión en seguridad debería calibrarse a esa lectura, no a la mínima exigencia de su póliza de seguro.

Qué tipo de tecnología pide este nivel de exigencia

Una infraestructura crítica protegida con el estándar del año 2010 es un problema en 2026. Las cámaras fijas, la caseta perimetral y el rondín humano siguen teniendo función, pero ya no constituyen un sistema. El estándar mexicano que emerge en la práctica, conforme operadores serios se profesionalizan y el CNI eleva expectativas, combina varios planos que tienen que funcionar como uno solo.

El primer plano es perímetro inteligente. Videovigilancia con analítica capaz de distinguir persona, vehículo, herramienta y patrón de comportamiento, no sólo de detectar movimiento. Sensórica multicanal que cruza señales para reducir falsas alarmas a un nivel operable. Torres móviles que se despliegan en horas cuando el perímetro cambia, por obra, por ampliación, por emergencia. Robots de patrullaje en instalaciones grandes donde el rondín humano consume más tiempo del que aporta. Esta capa no reemplaza al personal de seguridad, multiplica su alcance, y esa distinción es la que permite sostener una conversación honesta sobre costos con la dirección financiera del operador.

El segundo plano es registro y evidencia. Cada detección, cada alarma, cada intervención queda documentada en una arquitectura que permite auditoría externa sin reconfiguración. Esto suena obvio y sin embargo es donde más sistemas mexicanos fallan, porque fueron diseñados para tranquilizar al operador, no para resistir un escrutinio externo. La diferencia se mide cuando llega el inspector del regulador sectorial o el oficial de enlace del CNI y pide reconstruir un evento de hace tres semanas. El sistema que entrega la reconstrucción en una hora es un sistema. El que no la entrega es un archivo de pretensiones.

El tercer plano es integración. La seguridad física tiene que hablar con la ciberseguridad, con el sistema de control industrial, con la operación. Un intento de intrusión en el perímetro que coincide con una anomalía en la red de control no es coincidencia, es patrón, y leerlo requiere que los sistemas se comuniquen. En México, donde la cultura de OT y la cultura de IT todavía se miran con desconfianza en muchos operadores, esta integración es el cuello de botella real. El fabricante que entrega islas, por buenas que sean, deja al operador en la situación de tener que hacer él la integración bajo presión, y bajo presión la integración no se hace.

El cuarto plano es continuidad. La instalación crítica no puede permitirse que su sistema de seguridad caiga cuando cae la conexión, cuando cae la energía, cuando cae el proveedor externo. La arquitectura tiene que sostener funcionamiento local, con sincronización posterior, y tiene que documentar esa capacidad de forma que el operador pueda demostrarla. Esta exigencia, que en Europa se da por descontada en sectores regulados, en México todavía se negocia caso por caso, y es una de las primeras preguntas que un operador serio debe hacer al fabricante.

Qué exige la SSPC y cómo se documenta el cumplimiento

La Secretaría de Seguridad y Protección Ciudadana es la cabeza administrativa de la seguridad pública federal en México y, dentro de su estructura, el CNI opera como el brazo de inteligencia civil. Para el operador de infraestructura crítica, la relación con la SSPC se da en tres planos. El primero es el reporte de incidentes que tienen relevancia para la seguridad pública, como ataques físicos, intrusiones armadas, sabotaje o intentos de sabotaje. El segundo es la coordinación operativa cuando un evento escala y requiere apoyo de fuerzas federales o estatales. El tercero es la participación en mesas sectoriales que el gobierno federal convoca para sectores estratégicos, en particular energía, telecomunicaciones, financiero y logístico.

En ninguno de estos tres planos la SSPC publica un manual exhaustivo de cumplimiento aplicable a todos los operadores. Lo que sí existe es una expectativa creciente, expresada en interlocuciones específicas, de que el operador tenga capacidad de detectar, registrar, reportar y sostener evidencia. La documentación del cumplimiento, por tanto, no se hace contra una lista de verificación pública. Se hace contra la capacidad de responder cuando la pregunta llega. Y la pregunta llega en tres formatos típicos. Un requerimiento formal después de un incidente. Una visita de coordinación previa cuando el operador entra en un programa sectorial. Una auditoría informal cuando el operador participa en una contratación pública relevante o cuando recibe inversión extranjera que activa revisiones de seguridad nacional.

La documentación útil tiene varias capas. Bitácoras de eventos exportables a formatos estándar que un tercero puede verificar. Trazas de video con sello de tiempo y geolocalización que un perito puede validar. Registros de mantenimiento que demuestran que el sistema operó conforme a su diseño durante el periodo relevante. Protocolos de respuesta escritos, firmados y probados en simulacros documentados. Contratos con proveedores de tecnología que establecen niveles de servicio y responsabilidades claras. Un operador que tiene estas capas puede sostener una conversación de cumplimiento sin tener que improvisar. Un operador que no las tiene se ve forzado a construirlas bajo presión, que es la peor condición para construir nada.

El fabricante de tecnología tiene aquí una responsabilidad concreta que va más allá de la venta. Entregar sistemas cuya documentación sea apta para auditoría externa, en español, con formatos interoperables, con capacidad de retención que se ajuste a los plazos que el regulador sectorial mexicano exige en cada caso. Esto requiere conocer los plazos. En el sector financiero las exigencias de retención son más largas. En el sector energético las exigencias de geolocalización son más estrictas. En telecomunicaciones la integración con sistemas de respuesta de emergencia tiene reglas propias. El fabricante que conoce esos detalles vende soluciones. El que los ignora vende cajas.

Inversión, retorno y la conversación con la dirección financiera

La parte más difícil de la conversación sobre infraestructura crítica en México no es técnica, es financiera. El director de seguridad sabe lo que necesita. El director de finanzas pregunta cuánto cuesta y qué se evita. La pregunta es legítima y merece una respuesta seria, no una promesa.

La inversión en una plataforma seria de protección para una instalación crítica de tamaño medio en México se mueve en rangos que dependen del perímetro, de la complejidad del proceso interno y del grado de integración requerido. No es una inversión pequeña y no debe presentarse como tal. Lo que sí debe presentarse con honestidad es lo que evita. En sectores donde un día de paro operativo cuesta cifras de siete u ocho dígitos en pesos, la conversación cambia. En sectores donde un incidente reputacional puede activar revisiones regulatorias prolongadas, la conversación cambia. En sectores donde el incumplimiento de un reporte al CNI o a la SSPC puede generar consecuencias en concesiones, contratos públicos o calificación de riesgo, la conversación cambia.

El argumento que sostiene la inversión no es el miedo, es el control. Un operador con un sistema serio negocia primas de seguro distintas. Un operador con evidencia auditable resiste mejor procesos de due diligence cuando entra capital extranjero o cuando se prepara una operación de fusión. Un operador que puede demostrar continuidad de protección a sus clientes industriales gana contratos que el operador sin esa capacidad pierde. La seguridad deja de ser un costo y se vuelve una posición competitiva. Esa es la lectura que el libro BOSWAU + KNAUER. Del oficio constructor a la tecnología de seguridad sostiene como hilo conductor, y es la lectura que aplica con particular nitidez al mercado mexicano, donde la diferenciación entre operadores serios y operadores improvisados se ha acelerado en los últimos años.

Una tercera dimensión financiera, que conviene nombrar, es la del costo de no actuar. En un país donde la presión de seguridad sobre la operación industrial es estructural, no coyuntural, el operador que decide esperar paga el costo del incidente que sí ocurre. Y ese costo, medido honestamente, suele superar varias veces la inversión preventiva. La aritmética no es complicada. Lo que es difícil es admitirla a tiempo.

Lo que permanece

La seguridad de infraestructura crítica en México es una disciplina en construcción explícita y en operación implícita. No hay un manual público que la resuelva. Hay una expectativa creciente, articulada por la SSPC, por el CNI y por los reguladores sectoriales, de que el operador tenga capacidad técnica, capacidad de evidencia y capacidad de respuesta a la altura del peso funcional de su instalación. El fabricante de tecnología que entra a esa conversación con productos sueltos pierde. El que entra con plataformas integrables, con documentación auditable y con conocimiento del marco mexicano, gana posición durable.

Para el operador mexicano que reconoce su instalación dentro de esta categoría, hay tres caminos posibles de trabajo con el equipo del Dr. Nagel. Una conversación confidencial de sesenta minutos en la que se traza el mapa de la situación actual sin compromiso ulterior. Una auditoría estructurada de tres a cinco días en sede que entrega un informe verificable contra los estándares relevantes. Un piloto de noventa días en una instalación delimitada con métricas de éxito acordadas antes de empezar. Los tres caminos tienen el mismo principio. Lo que se mide se puede defender. Lo que no se mide es esperanza, y la esperanza no sostiene una conversación con el Estado.

Preguntas frecuentes

¿Qué papel juega el CNI mexicano en infraestructuras críticas?

El Centro Nacional de Inteligencia, dentro de la SSPC, produce y coordina inteligencia estratégica sobre amenazas a la seguridad nacional, lo que incluye riesgos sobre infraestructura crítica. No opera la protección física de las instalaciones, esa responsabilidad sigue siendo del titular, sea público o privado. Lo que sí hace es leer patrones, conectar señales entre sectores y coordinar respuesta interinstitucional cuando un incidente escala. Su intervención eleva el estándar de evidencia que el operador debe poder sostener, en particular en trazabilidad, registro y capacidad de reporte en plazos cortos.

¿Qué umbrales definen una infraestructura crítica?

En México no existe un catálogo público exhaustivo equivalente al del CNPIC español. La criticidad se reconoce por tres vías. La sectorial, que cubre energía, agua, telecomunicaciones, transporte, financiero, salud y alimentación. La de escala, que evalúa si la interrupción propaga daño más allá del perímetro inmediato. Y la de cadena, que identifica instalaciones cuya caída arrastra otros servicios esenciales. Un operador debe preguntarse qué cae si su instalación cae. Si la respuesta involucra servicios públicos, cadenas nacionales o sistemas financieros, está dentro del perímetro funcional aunque ningún oficio se lo haya notificado.

¿Qué exige la SSPC en seguridad física?

La SSPC no publica un manual unificado de exigencias aplicable a todos los operadores. Lo que sostiene es una expectativa creciente, expresada en interlocuciones sectoriales, de que el operador tenga capacidad de detección, registro, reporte y respuesta proporcional al peso de su instalación. Esto se traduce en plataformas de videovigilancia con analítica útil, sensórica integrada, trazabilidad auditable, protocolos de respuesta documentados y capacidad de reporte en plazos cortos cuando ocurre un incidente con relevancia para la seguridad pública. El cumplimiento se demuestra en la práctica, no en la declaración.

¿Cómo se documenta el cumplimiento?

La documentación útil tiene varias capas que deben construirse antes del primer requerimiento. Bitácoras de eventos exportables a formatos estándar. Trazas de video con sello de tiempo y geolocalización verificables por un tercero. Registros de mantenimiento que prueben la operación continua del sistema. Protocolos de respuesta firmados y probados en simulacros documentados. Contratos con proveedores que definan niveles de servicio y responsabilidades. Un operador que tiene estas capas sostiene una auditoría sin improvisar. Un operador que las construye bajo presión, después del incidente, llega tarde y paga el costo de esa demora en credibilidad y, frecuentemente, en sanciones.