Seguridad para la mediana empresa industrial: por qué esperar a la siguiente generación cuesta más

Esperar a la siguiente generación de tecnología de seguridad es una decisión de inversión, no una decisión de prudencia. Quien la presenta como prudencia confunde dos cosas distintas: el coste del equipo que aún no se ha comprado y el coste de las pérdidas que se absorben mientras tanto. El primero es visible en cualquier presupuesto. El segundo aparece en la cuenta de resultados disfrazado de otra cosa, en la nota de la reaseguradora, en la prima del año siguiente, en la conversación incómoda con el cliente que pregunta por el retraso.

La mediana empresa industrial española, aquella que mueve entre veinte y doscientos millones de euros y emplea entre cincuenta y quinientas personas, vive esta confusión con particular intensidad. Tiene patrimonio suficiente para ser objetivo. Tiene márgenes ajustados para no poder absorber pérdidas con la elegancia de una multinacional. Y tiene, además, una estructura de decisión donde la seguridad raramente reporta al consejero delegado, lo que convierte cada renovación tecnológica en una negociación interna antes de ser una negociación con el proveedor. En este texto, escrito desde la posición del fabricante que conoce a estos clientes desde hace años, se argumenta una tesis incómoda: posponer ya no es neutral.

La aritmética silenciosa del aplazamiento

Una empresa industrial mediana que decide esperar doce meses para renovar su perímetro de seguridad no está conservando capital. Está financiando, sin saberlo, una posición de pérdida. El cálculo es sencillo y se sostiene incluso con los rangos más conservadores que manejan los gerentes de riesgos en Unespa cuando hablan de siniestralidad industrial en patrimoniales. Una nave de tamaño medio en un polígono periférico, con maquinaria especializada, materia prima de valor unitario alto y vehículos comerciales, presenta una exposición que se mueve entre el dos y el cinco por ciento del valor asegurable como pérdida anual esperada, contando siniestros menores que nunca llegan a tramitarse y la cuota de fraude interno que las pólizas no cubren.

Sobre esta base, la pregunta no es si la inversión en seguridad física moderna se amortiza. La pregunta es en cuántos trimestres. Y la respuesta, en los expedientes que pasan por la mesa del fabricante, oscila entre cuatro y ocho. No diez años. No cinco. Entre cuatro y ocho trimestres, dependiendo del nivel de partida y de la disciplina con la que se mida la situación inicial. Quien aplaza esa inversión un año, financia entre uno y dos años más de pérdidas absorbidas, porque la curva de daño no espera al ciclo presupuestario.

Hay, además, un efecto que rara vez se calcula y que pesa más de lo que parece: la prima del seguro. Las aseguradoras españolas, en su capa de patrimoniales industriales, han endurecido los criterios técnicos en los últimos tres ejercicios. Una empresa que llega a la renovación de su póliza con sistemas obsoletos, sin trazabilidad de eventos, sin grabación útil más allá de catorce días, sin control de accesos integrado, encuentra incrementos de prima que superan, en algunos casos, el quince o el veinte por ciento. La inversión que no se hizo el año anterior reaparece, multiplicada, en la renovación. No como inversión sino como gasto recurrente, lo que en términos de balance es estrictamente peor. Una inversión se amortiza. Una prima inflada se paga, y al año siguiente se vuelve a pagar.

Quien argumenta que la siguiente generación de tecnología será mejor tiene razón. Toda generación posterior es, por definición, mejor que la actual. Pero la pregunta industrial no es si será mejor. La pregunta es cuánto cuesta esperar. Y la suma de pérdidas absorbidas, primas infladas y daño reputacional acumulado supera, en la inmensa mayoría de los casos que cruzan el escritorio del fabricante, el delta de precio entre la generación actual y la siguiente. Esperar no es ahorrar. Es invertir en una posición de pérdida con la expectativa de salir antes de que se note. La mayoría no sale a tiempo.

El malentendido sobre la obsolescencia

Existe una creencia, alimentada por la velocidad del marketing de seguridad, según la cual los sistemas se vuelven obsoletos en dieciocho meses y por tanto cualquier inversión actual estará anticuada antes de amortizarse. Esta creencia es, en su superficie, comprensible. Quien mira el ritmo de anuncios en ferias como SICUR o quien sigue los comunicados de los fabricantes asiáticos puede concluir razonablemente que el ciclo es vertiginoso. La conclusión es comprensible y es, sin embargo, equivocada en lo que importa.

Lo que se renueva cada dieciocho meses es la capa de software, los modelos de análisis, las funcionalidades. Lo que dura ocho o diez años es la infraestructura física: el mástil, el armario, la canalización, el cableado estructurado, la unidad de proceso local. Una arquitectura bien diseñada separa ambas capas. La capa física se amortiza en plazos largos. La capa lógica se actualiza en plazos cortos, sin sustituir lo que está en el suelo. Quien ha comprado un sistema cerrado, donde la cámara y el algoritmo son un único bloque indivisible, sí sufre obsolescencia rápida. Quien ha comprado una plataforma abierta, donde el sensor habla con cualquier motor de análisis, no la sufre.

La distinción no es académica. Es la diferencia entre amortizar una inversión en cuatro trimestres o tirarla en treinta y seis meses. Y es la pregunta que toda mediana empresa debería formular antes de firmar: ¿qué parte de este sistema sigue siendo útil dentro de cinco años, y qué parte habrá que sustituir? Si el proveedor no responde con claridad, la respuesta es que todo, porque ningún componente está pensado para sobrevivir a su propia generación.

Aquí entra una consideración regulatoria que la mediana empresa española suele ignorar hasta que la sufre. La AEPD ha endurecido los criterios de tratamiento de imagen, especialmente en lo que respecta a videovigilancia con análisis automatizado, y CCN-CERT ha publicado guías que afectan a la conectividad de dispositivos de seguridad en entornos industriales. Un sistema instalado en 2019 sin posibilidad de actualización firmware, sin segmentación de red, sin gestión de identidades digitales en sus cámaras, no es solo obsoleto en términos técnicos. Es, en algunos supuestos, incumplidor. La pregunta sobre obsolescencia es, en realidad, una pregunta sobre cumplimiento futuro. Y el cumplimiento futuro empieza a definirse hoy en las decisiones de arquitectura, no en las funcionalidades visibles.

La conclusión es prosaica. La obsolescencia no es un argumento contra la inversión. Es un argumento a favor de invertir en arquitectura, no en producto. Y esa es una decisión que se toma con el fabricante en una conversación de hora, no en una compra por catálogo.

Por qué la mediana empresa española aplaza

Las razones del aplazamiento son conocidas para cualquiera que haya pasado por suficientes salas de dirección. La primera y más estructural es la asignación interna de responsabilidades. En la empresa mediana española, la seguridad física suele reportar al director financiero, al director de operaciones o al jefe de mantenimiento, casi nunca a un responsable de seguridad con peso de comité. Esto significa que la inversión compite, en cada ciclo presupuestario, con prioridades que tienen voces más audibles. Una máquina nueva produce. Un sistema de seguridad evita pérdidas, lo que es estadísticamente cierto pero conceptualmente más difícil de defender en una junta.

La segunda razón es la dificultad de cuantificar lo que no ocurre. Cuando una inversión productiva genera ingresos, los ingresos aparecen en la cuenta. Cuando una inversión en seguridad evita una pérdida, la pérdida no aparece, porque no se ha producido. El director que defendió la inversión queda en una posición incómoda: tiene que argumentar el valor de algo invisible. Esta asimetría favorece el aplazamiento como decisión por defecto, porque aplazar no requiere defensa. Solo requiere silencio.

La tercera razón es más sutil y tiene que ver con la fatiga decisional. La mediana empresa industrial española vive en un ciclo permanente de adaptaciones regulatorias, energéticas, laborales y digitales. Cada una de esas adaptaciones consume capacidad de gestión. La seguridad física, en este contexto, aparece como una decisión más, y dado que la urgencia visible no es inmediata, se desplaza al trimestre siguiente. Trimestre tras trimestre. Hasta que un incidente fuerza la decisión en condiciones peores que las que habrían existido si se hubiera tomado a tiempo.

La cuarta razón, la menos confesada, es el escepticismo acumulado frente a los proveedores. Demasiadas medianas empresas han comprado en los últimos quince años sistemas que prometieron lo que no entregaron, integradores que desaparecieron, plataformas que no escalaron. Este escepticismo es comprensible y, en parte, justificado. La respuesta no es seguir esperando. La respuesta es cambiar el tipo de conversación inicial. No comprar un producto. Comprar un diagnóstico. No firmar una instalación. Firmar un piloto de noventa días con criterios de éxito definidos antes de empezar. Esa estructura cambia la conversación porque desplaza el riesgo al fabricante, que es donde debe estar.

INCIBE y CNPIC, en sus publicaciones recientes sobre protección de infraestructuras y entornos industriales, insisten en una idea que la mediana empresa subestima: la diferencia entre una empresa protegida y una empresa vulnerable no está en el presupuesto de seguridad, sino en la calidad de la primera conversación que se tiene con el fabricante. Quien empieza por el catálogo termina con un catálogo. Quien empieza por una conversación sobre su propia exposición termina con una arquitectura.

Cómo se dimensiona el presupuesto sin caer en errores estándar

Dimensionar el presupuesto de seguridad para la mediana empresa industrial es una conversación que se hace mal con frecuencia, porque parte de la pregunta equivocada. La pregunta habitual es cuánto cuesta. La pregunta correcta es cuánto se evita. La diferencia es enorme.

Un enfoque sobrio, que el fabricante aplica con los clientes que pasan por una auditoría de tres a cinco días, parte de tres números que la empresa debe tener antes de la primera reunión. El primero es el valor patrimonial expuesto, entendido como la suma del valor asegurable de inmuebles, maquinaria, existencias y vehículos en el perímetro a proteger. El segundo es la siniestralidad histórica documentada de los últimos veinticuatro meses, no estimada sino extraída de partes, denuncias y comunicaciones a la aseguradora. El tercero es el coste indirecto medio por incidente, calculado como suma de paradas, retrasos contractuales y horas de gestión administrativa. Quien tiene estos tres números puede dimensionar. Quien no los tiene, dimensiona a ciegas, y a ciegas se suele dimensionar mal.

Sobre esta base, la regla empírica que el fabricante ha visto repetirse en cientos de expedientes es que el presupuesto anual de seguridad, entendido como suma de inversión amortizada más operación, debe situarse entre el cero coma cinco y el uno coma cinco por ciento del valor patrimonial expuesto, ajustado por la siniestralidad histórica. Una empresa con baja siniestralidad y arquitectura moderna puede operar en el extremo bajo. Una empresa con alta siniestralidad o arquitectura obsoleta debe operar en el extremo alto, al menos durante los primeros años de la modernización. Bajar de esos rangos significa, casi siempre, estar absorbiendo pérdidas que no se ven en el presupuesto de seguridad pero sí en otras líneas.

Esta lógica está desarrollada con más detalle en el libro «BOSWAU + KNAUER. Del oficio constructor a la tecnología de seguridad», donde se argumenta por qué la mediana empresa industrial debe pensar la seguridad como inversión patrimonial y no como gasto operativo. La distinción contable parece menor. No lo es. Define qué área defiende el presupuesto, en qué horizonte se amortiza y bajo qué criterios se evalúa el resultado.

Un error frecuente en el dimensionamiento es comparar ofertas por precio total sin descomponer las partidas. Una oferta de cien mil euros que reparte sesenta en infraestructura amortizable a diez años y cuarenta en software con coste recurrente anual es muy distinta de una oferta de noventa mil donde la proporción es la inversa. La primera se amortiza. La segunda se paga indefinidamente. Comparar el número de portada es una de las trampas habituales del proceso de compra, y los integradores menos serios la explotan con sistematicidad.

El año 2026 como punto de inflexión

Hay razones para sostener que 2026 es, para la mediana empresa industrial española, un año distinto a los anteriores. No por una sola causa sino por una convergencia que rara vez ocurre simultáneamente. La primera es la maduración de las plataformas de análisis embarcado, que permiten ejecutar lógica en el propio dispositivo sin depender de envío continuo a la nube. Esto reduce la dependencia de conectividad, mejora la latencia de respuesta y resuelve, en buena medida, los reparos que la AEPD ha mostrado frente al tratamiento masivo de imagen.

La segunda es el endurecimiento del mercado asegurador. Unespa ha documentado en sus informes recientes una contracción en la capacidad disponible para riesgos industriales medianos, y los reaseguradores europeos han subido precios y exigencias técnicas. Una empresa que llegue a la renovación de 2026 sin haber actualizado su perímetro físico encontrará condiciones notablemente peores que las que habría encontrado en 2023. Esto no es una previsión optimista del fabricante. Es la lectura literal de los informes sectoriales que cualquier corredor profesional puede facilitar.

La tercera es la disponibilidad de programas de apoyo. Sin entrar en detalles que cambian trimestralmente, existen líneas activas a través del Kit Digital ampliado, programas de ciberseguridad industrial coordinados por INCIBE para pymes y medianas, y convocatorias autonómicas en comunidades como País Vasco, Cataluña, Madrid y Valencia que cubren parcialmente inversiones en seguridad integrada cuando esta forma parte de un proyecto de modernización más amplio. La empresa que combina la inversión en seguridad con un proyecto de eficiencia energética, digitalización de procesos o cumplimiento NIS2, multiplica las posibilidades de cofinanciación. Esto requiere planificar antes, no después.

La cuarta es la convergencia regulatoria. La transposición de NIS2 al ordenamiento español, junto con el desarrollo del Reglamento de Inteligencia Artificial europeo en sus capítulos relevantes para videovigilancia, va a hacer obligatorio en los próximos veinticuatro meses lo que hoy es recomendable. Las empresas que se anticipen pagarán menos y tendrán margen para negociar arquitecturas a su medida. Las que esperen a la obligación firmarán contra el reloj, con poco poder de negociación y bajo presión de cumplimiento.

La quinta, y quizá la más decisiva, es la posición de los fabricantes europeos serios frente a la competencia asiática. La actual sensibilidad sobre soberanía tecnológica, alimentada por los criterios de compra pública y por las recomendaciones de CCN-CERT y ENISA respecto a componentes críticos, está reorientando la decisión de compra hacia proveedores con trazabilidad de cadena, soporte local y arquitectura abierta. Esta ventana de preferencia no será eterna. Pero está abierta ahora, y la mediana empresa que la aproveche obtiene condiciones que en otro momento del ciclo no estarán disponibles.

La diferencia entre comprar producto y comprar arquitectura

Hay dos formas de invertir en seguridad y producen resultados radicalmente distintos. La primera es comprar producto. Una empresa identifica una necesidad, pide tres ofertas, compara precios y funcionalidades, firma con la más razonable, instala, opera. Este enfoque funciona para problemas simples. No funciona para una mediana empresa industrial con varios accesos, turnos, procesos sensibles, exposición patrimonial relevante y obligaciones regulatorias en aumento.

La segunda forma es comprar arquitectura. La empresa, antes de pedir ofertas, define con un interlocutor solvente cuál es su perfil de exposición, qué eventos quiere prevenir, qué eventos quiere documentar, cómo quiere que el sistema converse con sus otras infraestructuras digitales y qué autonomía quiere conservar frente al proveedor. A partir de ese diseño, las ofertas se evalúan en función de cómo encajan, no de cuánto cuestan en valor absoluto. La diferencia de resultados entre ambos enfoques es del orden de cuatro a uno medido en valor amortizado a cinco años, según lo que el fabricante ha visto en proyectos comparables.

Lo que distingue a la arquitectura del producto es la modularidad. Un sistema bien arquitecturado permite cambiar el motor de análisis sin tocar las cámaras, añadir un nuevo perímetro sin rehacer la red, integrar control de accesos sin sustituir el video, y exportar todos los datos en formatos abiertos hacia un sistema de gestión que la empresa elige y controla. Quien no tiene esto, depende del proveedor. Quien lo tiene, negocia desde una posición distinta.

Una empresa propietaria de sus datos, sus configuraciones y sus integraciones es una empresa libre. Una empresa cuyo sistema solo funciona con un proveedor específico es una empresa atada, y esa atadura se paga en cada renovación contractual. El fabricante serio acepta esta verdad. El integrador débil la oculta. Saber distinguir entre ambos es la primera habilidad que la dirección de la mediana empresa debe desarrollar antes de firmar.

Lo que permanece

La siguiente generación de tecnología de seguridad llegará. Eso no está en discusión. Lo que está en discusión es qué ocurre durante el tiempo que tarda en llegar y, sobre todo, qué decisiones de hoy condicionan la capacidad de aprovecharla cuando esté disponible. Quien posterga sin estructura termina, sistemáticamente, con menos opciones y peores condiciones cuando finalmente decide. Quien invierte ahora en arquitectura, en modularidad, en una conversación seria con un fabricante que responde por lo que produce, no compra el sistema de 2026. Compra la capacidad de absorber, sin trauma, lo que venga después.

Para la mediana empresa industrial española hay tres caminos posibles. El primero es una conversación confidencial de sesenta minutos, sin compromiso, donde el fabricante examina la situación del cliente y aporta una lectura externa que la empresa no tiene desde dentro. El segundo es una auditoría de tres a cinco días sobre el terreno, con entregables definidos, que produce un informe que la empresa puede usar con cualquier proveedor, no solo con el fabricante. El tercero es un piloto de noventa días en un emplazamiento concreto, con criterios de éxito acordados antes de empezar, que entrega datos verificables sobre el rendimiento real del sistema antes de cualquier decisión de escalado. Tres formatos distintos, tres niveles de profundidad, y una misma lógica: cambiar la conversación inicial para cambiar el resultado final.

Preguntas frecuentes

¿Por qué las medianas empresas españolas posponen estas inversiones?

Por una combinación de factores estructurales. La seguridad raramente reporta al consejero delegado, lo que la sitúa en desventaja en el comité presupuestario. El valor de lo que se evita es invisible, mientras que el valor de lo que se produce es visible. La fatiga decisional acumulada por adaptaciones regulatorias, energéticas y digitales empuja a aplazar lo que no es urgente hoy. Y existe un escepticismo legítimo frente a proveedores que en el pasado prometieron más de lo que entregaron. Cada una de estas razones es comprensible. Sumadas, producen un patrón de aplazamiento que casi siempre cuesta más que la inversión que evita.

¿Cuán rápido se queda obsoleta la tecnología hoy?

Depende de qué capa se mire. La capa de software, donde residen los modelos de análisis y las funcionalidades, se renueva cada dieciocho a veinticuatro meses. La capa física, donde están mástiles, canalizaciones, armarios y cableado estructurado, dura entre ocho y diez años con mantenimiento normal. Una arquitectura bien diseñada separa ambas capas, lo que permite actualizar lo lógico sin tocar lo físico. Quien compra sistemas cerrados, donde sensor y algoritmo son un bloque único, sufre obsolescencia rápida. Quien compra plataformas abiertas con componentes intercambiables, no la sufre. La pregunta correcta antes de invertir es qué parte sobrevivirá a cinco años.

¿Cómo se dimensiona el presupuesto?

Partiendo de tres números: valor patrimonial expuesto, siniestralidad documentada de los últimos veinticuatro meses y coste indirecto medio por incidente. Sobre esa base, el presupuesto anual de seguridad, incluyendo inversión amortizada más operación, suele situarse entre el cero coma cinco y el uno coma cinco por ciento del valor patrimonial expuesto, ajustado por la siniestralidad histórica. Una empresa con baja siniestralidad y arquitectura moderna opera en el extremo bajo. Una empresa con arquitectura obsoleta debe operar en el extremo alto durante la fase de modernización. Comparar ofertas exige descomponer partidas entre infraestructura amortizable y software recurrente, porque el precio total esconde estructuras de coste muy distintas.

¿Qué programas de ayuda hay en 2026?

Las líneas activas en 2026 cambian con frecuencia y conviene contrastar con el organismo competente. A título indicativo, existen ayudas a través del Kit Digital ampliado para pymes y medianas, programas de ciberseguridad industrial coordinados por INCIBE, y convocatorias autonómicas en comunidades como País Vasco, Cataluña, Madrid y Valencia que cubren parcialmente inversiones en seguridad cuando forman parte de un proyecto más amplio de digitalización, eficiencia energética o cumplimiento NIS2. La clave está en combinar la inversión en seguridad con otro proyecto elegible. Una planificación temprana, hecha con seis meses de antelación a la convocatoria, multiplica las opciones de cofinanciación efectiva.