Sistema antiintrusión en fábrica: jerarquía de capas y cuál importa de verdad

Un sistema antiintrusión en fábrica no es un sistema único, sino tres sistemas que comparten un mismo nombre y que rara vez se diseñan con la misma seriedad. Esa es la primera fuente de problemas.

La capa exterior detecta presencia antes de que se materialice un acto. La capa intermedia disuade y obliga al intruso a tomar decisiones que dejan huella. La capa interior protege el activo, el último metro, la nave, el cuadro eléctrico, el laboratorio. Quien las trata como si fueran un único contrato con un único proveedor, paga tres veces la misma factura sin obtener las tres funciones. Quien las trata como tres disciplinas, con presupuestos separados y métricas distintas, obtiene un perímetro que se sostiene cuando alguien lo prueba. La diferencia entre una y otra postura no es académica. Se mide en el coste de la noche en que el sistema se enfrenta a alguien que sabe lo que hace.

La jerarquía como decisión de proyecto, no como diagrama de catálogo

En los catálogos de fabricantes, las tres capas aparecen dibujadas como anillos concéntricos perfectos, con etiquetas que sugieren simetría y proporción. La realidad de una fábrica española mediana se parece poco a ese dibujo. El recinto rara vez es circular, el vallado convive con medianeras compartidas con otras empresas, hay zonas con tráfico de mercancías que no admiten cierre nocturno, y existen puertas que la operación abre y cierra cinco veces por turno porque así está organizada la producción desde hace quince años. Diseñar la jerarquía de capas significa aceptar esa asimetría y construir sobre ella, no contra ella.

La capa exterior es la que protege metros de terreno, longitudes de valla, perímetros de varios cientos o miles de metros. Su métrica natural es la probabilidad de detección por metro lineal y por hora, ponderada por la tasa de falsa alarma admisible. La capa intermedia es la que protege accesos, fachadas, cubiertas, ventanas, puertas de muelle. Su métrica es el tiempo de retardo que impone al intruso una vez detectado, antes de que alcance el activo. La capa interior es la que protege el activo concreto, la sala de servidores, la zona de almacén refrigerado, el cuadro de baja tensión, el laboratorio de control de calidad. Su métrica es la robustez del último cerramiento y la velocidad de comunicación del aviso a quien debe responder.

Estas tres métricas no son intercambiables. Sustituir un metro lineal de detección perimetral exterior por una cámara más en la nave principal no es una equivalencia, es un cambio de capa que deja la primera sin función. En proyectos que han crecido por capas sucesivas, sin diseño jerárquico, lo que se encuentra es una acumulación de inversión en la capa intermedia o interior, y un abandono progresivo de la exterior, porque genera falsas alarmas y porque su mantenimiento es incómodo. El resultado es un edificio bien protegido rodeado de un terreno sin vigilancia, lo que en términos prácticos significa que el intruso elige el momento de cruzar la valla con tiempo y sin presión.

Qué capa falla más a menudo y por qué falla

La capa exterior es la que falla con más frecuencia, y falla por motivos que no son técnicos sino organizativos. La detección perimetral genera ruido. Un sistema de cable microfónico instalado sobre una valla de simple torsión registra el viento, la lluvia, los animales, las vibraciones de un camión que pasa por la carretera contigua. Un sistema de barreras de infrarrojos activos en un terreno con vegetación registra hojas, insectos, gotas de agua, sombras en condiciones de niebla. Un radar de baja altura registra movimientos en propiedades vecinas si su lóbulo no se ha configurado con precisión. Todo esto es conocido. La diferencia entre un buen sistema y un mal sistema no es la ausencia de estos eventos, sino la capacidad de filtrarlos sin perder los eventos reales.

Cuando una capa exterior genera más de un cierto número de alarmas no confirmadas por turno, el operador empieza a ignorarla. No por mala fe, sino por economía cognitiva. En seis meses, la capa exterior ha dejado de existir aunque el hardware siga instalado y aunque la factura de mantenimiento se siga pagando. Esto se observa con regularidad en auditorías de instalaciones que en papel cumplen todos los requisitos. La capa exterior está, pero no opera. El intruso que estudia la fábrica durante varias noches lo nota antes que el gerente.

La capa intermedia falla con menos frecuencia, pero falla peor, porque su fallo es silencioso. Una puerta de muelle con un contacto magnético mal instalado, una ventana de cubierta con un detector de rotura de cristal cuya sensibilidad se ajustó hacia abajo después de quejas por falsas alarmas, una fachada sin volumétricos en la zona ciega entre dos cámaras. Estos fallos no se manifiestan como ruido, se manifiestan como ausencia de evento cuando el evento ocurre. La auditoría los detecta. La operación diaria no.

La capa interior es la que falla con menor frecuencia y, cuando lo hace, suele ser por motivos de configuración lógica, no de hardware. Particiones de la central de intrusión mal definidas, códigos de usuario compartidos entre turnos, retardos de salida demasiado largos, comunicación a la central receptora de alarmas sin redundancia. Son fallos corregibles en pocas horas, pero no se corrigen mientras nadie los busque. El INCIBE ha publicado en sus guías de seguridad para entornos industriales recomendaciones que tocan precisamente esta zona, y rara vez se aplican con la disciplina con la que se aplican las recomendaciones equivalentes en el dominio cibernético.

Cómo se prioriza la inversión cuando el presupuesto no llega a todo

El presupuesto de un sistema antiintrusión completo en una fábrica de tamaño medio rara vez llega para hacer todo bien a la primera. Esto obliga a priorizar, y la priorización debe partir de una observación dura. La capa que más impacto tiene sobre la probabilidad de que un incidente termine en pérdida significativa es la intermedia, porque es la que decide el tiempo que el intruso necesita para llegar al activo. La capa que más impacto tiene sobre la probabilidad de que el incidente se detecte a tiempo es la exterior. La capa que más impacto tiene sobre la probabilidad de que el activo concreto resulte dañado o sustraído es la interior.

Si el presupuesto disponible cubre las tres capas con holgura, la jerarquía es la lógica del diseño. Si el presupuesto cubre dos de las tres, la decisión depende del activo. Una fábrica con activos concentrados en un solo punto, una sala blanca, un almacén de producto terminado de alto valor, una zona de servidores, se beneficia más de invertir en capa interior potente y capa exterior básica que en una capa intermedia muy elaborada. Una fábrica con activos distribuidos, varias naves, varios laboratorios, varios almacenes, se beneficia más de invertir en capa exterior bien resuelta y capa intermedia consistente, porque la capa interior multiplicada por puntos protegidos se vuelve inasumible.

Esta lógica no es la que aplica el instalador medio, porque el instalador medio vende lo que sabe instalar. Es la que aplica el responsable de seguridad que ha trabajado con varias plantas durante varios años y que ha visto cómo se comportan los sistemas en condiciones reales. Cuando un proyecto se diseña con esta lógica, la conversación con la aseguradora cambia. Unespa ha señalado en distintos informes que las primas reflejan no la inversión bruta en seguridad, sino la coherencia entre las medidas instaladas y los riesgos del establecimiento. Una inversión coherente, aunque sea más modesta en términos absolutos, mejora condiciones. Una inversión incoherente, aunque sea cara, no las mejora.

Las normas españolas y europeas, y por qué importan más de lo que parece

El marco normativo aplicable a los sistemas antiintrusión en España está formado, en su núcleo, por la serie UNE-EN 50131 para sistemas de alarma de intrusión y atraco, complementada por la UNE-EN 50132 para sistemas de videovigilancia y por la UNE-EN 50136 para los sistemas de transmisión de alarmas. La norma UNE-EN 50131-1 establece cuatro grados de seguridad, del 1 al 4, que se corresponden con perfiles de atacante de creciente sofisticación. Una fábrica con activos relevantes raramente cumple su función con un grado inferior al 2, y en muchos casos justifica el 3. El grado 4 está reservado a instalaciones con riesgos que justifican una inversión que la mayoría de las plantas industriales no necesita.

La norma no es una formalidad. Define la capacidad del sistema de operar bajo sabotaje, la robustez del cableado, la resistencia a interferencias, los tiempos máximos de comunicación, los requisitos de fuente de alimentación auxiliar. Un sistema certificado en grado 2 y un sistema certificado en grado 3 se parecen poco en la realidad, aunque el catálogo del instalador pueda sugerir lo contrario. La diferencia se nota cuando el intruso intenta neutralizar el sistema, no cuando funciona en condiciones normales.

A esta base se añade el Reglamento de Seguridad Privada, que establece qué tipos de instalación requieren conexión a una central receptora de alarmas autorizada y qué requisitos debe cumplir la empresa instaladora y mantenedora. Para instalaciones de cierta entidad, el CNPIC mantiene además requisitos específicos cuando el establecimiento está catalogado como infraestructura crítica, con obligaciones de coordinación con los planes sectoriales y con notificación de incidentes que afecten a la operación. La AEPD interviene en el momento en que el sistema antiintrusión incorpora videovigilancia, lo que sucede en la práctica totalidad de los casos modernos, y obliga a un tratamiento de imágenes que cumple el RGPD y la LOPDGDD, con plazos de conservación, derechos de los afectados y registro de actividades de tratamiento. Ignorar este último plano no es una opción, y su incumplimiento se descubre habitualmente en el peor momento, cuando un incidente requiere aportar grabaciones que no se obtuvieron con las garantías adecuadas.

La integración con el resto de la plataforma de seguridad

Un sistema antiintrusión que opera de forma aislada es un sistema antiintrusión de la generación anterior. La generación actual, la que justifica la inversión y la que sostiene el caso ante la dirección financiera, es la que se integra con el control de accesos, con la videovigilancia, con la detección perimetral inteligente, con los sistemas de aviso al operador en remoto y con las plataformas de gestión que centralizan eventos de múltiples plantas. Esta integración no es un lujo, es lo que convierte tres capas separadas en un sistema, y lo que permite que una sola persona supervise lo que antes requería un equipo.

La integración tiene dos dimensiones. La primera es de protocolo, hardware con hardware, central con central, cámara con grabador. La segunda es de lógica, evento con respuesta, alarma con verificación, verificación con actuación. La primera dimensión se resuelve con estándares abiertos, ONVIF para videovigilancia, OSDP para control de accesos, contactos secos o IP para intrusión. La segunda dimensión se resuelve con software de gestión que entiende las tres fuentes y aplica reglas que un operador entrenado ha definido previamente. Cuando el detector perimetral exterior dispara, la cámara más próxima orienta su lóbulo a la zona, el grabador almacena el evento con metadatos, la central de intrusión activa el aviso al operador y el operador dispone en pantalla de la imagen confirmando o descartando antes de movilizar respuesta. Este flujo no es ciencia avanzada, es lo que cualquier plataforma seria permite hoy. Lo que no es trivial es definirlo, configurarlo y mantenerlo coherente cuando la planta cambia, cuando se añade una nave, cuando se modifica un acceso, cuando rota el personal.

En el libro "BOSWAU + KNAUER. Del oficio constructor a la tecnología de seguridad" se describe este planteamiento de plataforma como el desplazamiento desde una colección de equipos hacia una arquitectura modular en la que la integración es el producto principal y los equipos son las piezas. Esa es la lectura que cabe aplicar al sistema antiintrusión moderno en una fábrica. No es una colección de capas, es una plataforma que articula tres funciones con disciplina jerárquica.

El mantenimiento es la decisión que sostiene el sistema

Un sistema antiintrusión bien diseñado y mal mantenido se degrada hasta perder función en dieciocho a veinticuatro meses. Las baterías de respaldo envejecen, los detectores acumulan suciedad, las cámaras pierden enfoque por dilatación térmica, los contactos magnéticos se descalibran por uso, las comunicaciones sufren interferencias que no existían en el momento del comissioning. Nada de esto es dramático en sí mismo, todo es corregible con un programa de mantenimiento preventivo riguroso. Lo dramático es que el mantenimiento se interpreta con frecuencia como una partida de coste prescindible, y se recorta antes que cualquier otra. Cuando se recorta, no pasa nada visible durante meses. Pasa algo invisible que se manifiesta el día del incidente.

El mantenimiento de un sistema antiintrusión en grado 2 o superior debe incluir verificación funcional de cada detector, prueba de comunicación con la central receptora, comprobación de tiempos de retardo, revisión de la integridad del cableado y validación del sistema de alimentación auxiliar. Esta revisión debe documentarse y el documento debe ser revisable. Un mantenimiento que solo deja factura no es mantenimiento, es facturación. La diferencia se descubre cuando el sistema se prueba.

Lo que permanece

Un sistema antiintrusión en fábrica funciona cuando sus tres capas tienen función, presupuesto, métrica y mantenimiento propios, y cuando las tres están integradas en una plataforma que las articula. La capa exterior falla más a menudo por ruido y abandono operativo. La capa intermedia falla peor por silencio. La capa interior falla con menos frecuencia, casi siempre por configuración lógica. La inversión se prioriza según la distribución del activo, no según la disponibilidad del catálogo del instalador. El marco normativo, UNE-EN 50131 en su núcleo, no es un trámite sino una garantía de comportamiento bajo presión.

Para quien quiere revisar su propia jerarquía de capas con seriedad, el Camino II del modelo de trabajo de la casa, una auditoría de tres a cinco días sobre el terreno, entrega un diagnóstico utilizable con o sin nosotros. Para quien prefiere empezar por una conversación confidencial antes de comprometer presupuesto, el Camino I, sesenta minutos con un miembro de la dirección, es la entrada natural. La decisión que no admite aplazamiento indefinido es la de mirar las tres capas por separado y aceptar lo que se ve.

Preguntas frecuentes

¿Qué capa de un antiintrusión falla más?

La capa exterior falla con más frecuencia, casi siempre por motivos operativos antes que técnicos. Los sistemas perimetrales generan eventos no confirmados que, cuando superan un umbral tolerable por turno, llevan al operador a ignorarlos o a desactivarlos parcialmente. En seis a doce meses, la capa exterior está físicamente instalada pero ha dejado de operar. La capa intermedia falla peor cuando falla, porque su fallo es silencioso, y la capa interior falla con menor frecuencia, casi siempre por errores de configuración lógica corregibles en pocas horas si alguien los busca.

¿Cómo se prioriza la inversión por capa?

La priorización depende de la distribución del activo. Una planta con activos concentrados en un punto, sala blanca, almacén de producto terminado de alto valor, sala de servidores, se beneficia más de una capa interior robusta combinada con una exterior básica. Una planta con activos distribuidos entre varias naves se beneficia más de una capa exterior bien resuelta y una intermedia consistente, porque la interior multiplicada por puntos protegidos resulta inasumible. La conversación con la aseguradora mejora cuando la inversión es coherente con el riesgo, no cuando es alta en términos absolutos.

¿Qué normas españolas aplican (UNE-EN)?

El núcleo es la serie UNE-EN 50131 para sistemas de alarma de intrusión, con cuatro grados de seguridad del 1 al 4. La UNE-EN 50132 cubre videovigilancia y la UNE-EN 50136 los sistemas de transmisión de alarmas a central receptora. Una fábrica con activos relevantes rara vez justifica un grado inferior al 2, y con frecuencia exige grado 3. A esta base se añaden el Reglamento de Seguridad Privada, los requisitos específicos del CNPIC cuando la planta está catalogada como infraestructura crítica, y las obligaciones de la AEPD en materia de tratamiento de imágenes.

¿Es necesario certificación?

La certificación del sistema según el grado UNE-EN aplicable no es siempre obligatoria por ley, pero es habitualmente exigida por la aseguradora y, en instalaciones con conexión a central receptora de alarmas, está condicionada por el Reglamento de Seguridad Privada. Más allá de la obligación formal, la certificación es la garantía de que el sistema se comporta bajo sabotaje y bajo condiciones adversas conforme a un estándar conocido. Sin certificación, la conversación con la aseguradora se reduce a confianza, y la confianza tiene un precio peor que la certificación.