Torres móviles protegiendo subestaciones eléctricas: por qué REE presta atención

Una subestación eléctrica no es un edificio, es una superficie con perímetro, y esa diferencia explica por qué los planes de protección física que se redactaron para edificios fallan cuando se aplican al activo real.

Quien haya leído los planes de seguridad del operador de transporte, los requisitos derivados de la Ley 8/2011 sobre infraestructuras críticas y las guías técnicas que el CNPIC ha ido afinando en la última década, reconoce un patrón. La norma describe perímetros, control de accesos, videovigilancia, detección de intrusión. Lo que la norma no resuelve es el coste de instalar todo eso en cada una de las cientos de subestaciones de un operador, ni el tiempo que tarda en estar operativo. Entre lo que pide el plan y lo que la propiedad puede ejecutar en un horizonte razonable hay una brecha. Esa brecha es donde los activos móviles, en particular las torres de videovigilancia, han empezado a tener un papel que hace cinco años no se les reconocía.

Lo que el marco regulatorio español pide y lo que omite

La Ley 8/2011 de Protección de Infraestructuras Críticas, su reglamento de desarrollo y los planes sectoriales obligan al operador eléctrico a redactar un Plan de Seguridad del Operador y un Plan de Protección Específico por instalación crítica. El CNPIC valida, supervisa y exige actualizaciones. Hasta aquí, todo el mundo lo sabe. Lo que se discute menos es el grado de concreción que el marco deja al operador para decidir cómo cumple. La norma dice que debe haber detección perimetral, videovigilancia con capacidad de evaluación remota, control de accesos y registro. No dice con qué tecnología, con qué proveedor, ni en qué plazo se llega a la cobertura completa de la cartera. Esa indefinición no es un defecto, es un margen de diseño.

Red Eléctrica de España, como operador del sistema, ha trasladado este margen a sus propias políticas internas. Las exigencias contractuales hacia sus contratistas, y las auditorías que CNMC realiza en el marco regulatorio retributivo, incluyen cada vez con más detalle la verificación de medidas físicas de protección. INCIBE-CERT y CCN-CERT, por su parte, atienden la capa ciber, pero la capa física sigue siendo responsabilidad directa del operador. Lo que llama la atención al leer los informes anuales del sector es la diferencia de madurez entre subestaciones de transporte de 400 kV, que tienen presupuestos físicos consistentes, y subestaciones de distribución de tensión menor, donde la inversión por instalación es proporcionalmente menor y donde un robo de cobre, un acto vandálico o una intrusión exploratoria puede ocurrir sin que nadie en el centro de control se entere en tiempo útil.

Esa asimetría entre cartera obligada y cartera atendida es el problema que las utilities están empezando a nombrar. Y es ahí donde aparece la pregunta práctica: cómo cubrir, en plazos de semanas y no de años, la capa de subestaciones que el plan reconoce como vulnerables pero que la planificación de obra fija todavía no ha alcanzado.

Cómo se atacan las subestaciones, y por qué la respuesta clásica llega tarde

Los ataques a subestaciones siguen patrones que no son nuevos pero que han ganado intensidad. El primero es el robo de cobre, motivado por el precio del metal en el mercado secundario. El segundo es el sabotaje, deliberado, normalmente impulsivo, contra elementos visibles como aisladores, cabinas, armarios de control. El tercero es la intrusión exploratoria, que precede a un ataque mayor y que se manifiesta como reconocimiento, fotografía del recinto, prueba de vallas, identificación de horarios de la ronda. El cuarto, el menos frecuente pero el de mayor impacto, es el ataque coordinado contra elementos críticos de la red, con un objetivo de disrupción que excede al delito común.

La respuesta clásica, valla perimetral más detección por cable enterrado o por barrera infrarroja más cámaras fijas más ronda de vigilante cada cierto número de horas, funciona contra el primero y el segundo de los patrones cuando está bien diseñada. Falla contra el tercero, porque la intrusión exploratoria suele ser breve, sin sustracción, y se confunde con falsos positivos. Y falla contra el cuarto, porque el tiempo entre detección y reacción supera al tiempo que el atacante necesita para causar el daño. La estadística que comparten las aseguradoras del sector, sin que Unespa la publique de forma agregada por razones obvias, apunta a que la mayoría de los incidentes en subestaciones de distribución se descubren después del hecho, en la siguiente inspección programada, no en el momento.

Aquí entra la cuestión del tiempo de despliegue. Una subestación nueva incorpora protección física en el proyecto. Una subestación existente, modernizada, lo incorpora en una obra de adaptación que dura meses. Una subestación identificada como vulnerable después de un incidente, o tras una nueva valoración de amenaza, no puede esperar meses. El operador necesita una capa de protección que se monte en horas, que opere de forma autónoma, que no dependa de obra civil, y que se retire o se reubique cuando la subestación entre en su ciclo de modernización definitiva. Esa es la función operativa que cumple una torre móvil bien diseñada.

Qué aporta una torre móvil que no aporta la instalación fija

Una torre de videovigilancia móvil, autoportante, con cámara térmica y óptica, analítica de vídeo a bordo, alimentación híbrida solar y baterías, conectividad celular redundada y altavoz de disuasión, no compite con la instalación fija. La sustituye en ventanas concretas, la complementa donde la fija no llega y la prepara donde la fija aún no se ha desplegado. La diferencia con la cámara montada en poste depende de cuatro variables que el operador conoce bien.

La primera es el tiempo de puesta en servicio. Una torre móvil llega en camión, se posiciona, se ancla, se calibra y opera en una jornada. La instalación fija requiere proyecto, obra civil, cableado, certificación y puesta en marcha. Cuando la amenaza aparece, la torre llega. La fija viene después. La segunda es la independencia respecto a la red eléctrica del propio recinto. Una subestación con incidente reciente puede tener trabajos eléctricos en curso, cortes programados, conmutaciones. Una torre con su propia generación no se ve afectada. La tercera es la analítica embarcada. La torre clasifica persona, vehículo, animal, en el propio dispositivo, sin enviar vídeo bruto a un centro de control que ya está saturado. Solo se envía el evento y el clip asociado, lo que reduce ancho de banda y reduce también la fatiga del operador del CRA. La cuarta es la reubicación. Una vez la subestación entra en su ciclo de modernización y la protección fija toma el relevo, la torre se mueve a la siguiente.

Estas cuatro propiedades, tiempo, autonomía, analítica local, movilidad, son las que convierten al activo móvil en una pieza de planificación táctica para el operador. No reemplaza a la planificación a largo plazo. La acompaña. En el manuscrito interno que publicaremos como libro este año, BOSWAU + KNAUER. Del oficio constructor a la tecnología de seguridad, recogemos cómo esta lógica de complementariedad entre lo fijo y lo móvil ha cambiado la forma en que algunos operadores de energía e infraestructura redactan ahora sus planes plurianuales. El cambio no está en la tecnología, que existía. Está en la planificación.

El papel del centro de control y la integración con SCADA

Un activo móvil aislado no resuelve nada. Una torre que ve, clasifica y alarma, pero cuyo evento llega a un buzón que nadie revisa, es ruido. La utility que ha trabajado con torres móviles durante el tiempo suficiente entiende que el valor está en la integración, no en el dispositivo. La torre debe enviar el evento a la central receptora de alarmas, a la sala de control de seguridad corporativa, y, en los casos donde el operador lo permite, a la capa de supervisión que monitoriza el estado de la subestación. La interfaz no necesita ser propietaria. ONVIF para vídeo, protocolos estándar para alarma, integraciones documentadas. Cuando esto está bien hecho, el operador del centro ve la subestación en su pantalla con el mismo nivel de detalle que ve una subestación con instalación fija, aunque la fija aún no exista.

Aquí hay una cuestión de gobierno del dato que no se discute lo suficiente. La AEPD ha publicado, en sus guías sobre videovigilancia, criterios sobre proporcionalidad, información al afectado, conservación. Una subestación es un recinto privado, vallado, señalizado. La videovigilancia perimetral en este contexto se justifica por seguridad de instalación crítica y por protección de personas frente a riesgos eléctricos. Aun así, el operador debe documentar la base jurídica, el periodo de conservación, las medidas técnicas y organizativas, y el responsable del tratamiento. Las torres móviles, al ser activos que entran y salen, exigen una disciplina documental que no todas las organizaciones tienen incorporada. Quien lo resuelve con un anexo al registro de actividades de tratamiento, con la torre como punto móvil identificado y con plazos de conservación claros, no tiene problema. Quien lo deja a la improvisación, sí.

La capa de ciberseguridad del propio dispositivo también es objeto de atención. CCN-CERT e INCIBE han subrayado en los últimos años que los dispositivos IoT en infraestructura crítica son vector de ataque. Una torre conectada por 4G o 5G es un nodo de red. Necesita gestión de identidades, parches, cifrado de comunicaciones, segmentación lógica respecto a la red OT de la subestación. El fabricante serio entrega esto documentado, con un ciclo de vida del firmware definido y con un canal de notificación de vulnerabilidades. El fabricante que no lo hace, introduce más riesgo del que retira.

Por qué CNMC, aseguradoras y operadores convergen aquí

CNMC, en su función de regulador económico del sector eléctrico, no dicta cómo se protege una subestación. Pero sí supervisa el marco retributivo, las inversiones reconocidas y la eficiencia del operador. Una utility que demuestra reducción de incidentes, menor pérdida de cobre, menor tiempo de indisponibilidad por sabotaje, tiene un argumento ante el regulador que no tenía hace cinco años. Esto no es marketing, es contabilidad regulatoria.

Las aseguradoras del sector, agrupadas en Unespa y en los reaseguradores que cubren las pólizas de daños materiales y pérdida de beneficios, miran exactamente lo mismo. La prima futura del operador depende de su historial de siniestralidad. Una subestación con torre de vigilancia operativa, con eventos clasificados, con respuesta documentada, con disuasión por audio, presenta un perfil distinto al de una subestación con valla y cámara fija. No se trata de descuentos automáticos en la prima, esos rara vez existen en este negocio. Se trata de tener argumentos en la renovación anual de la póliza, y de evitar exclusiones específicas que el reasegurador empieza a introducir cuando la categoría de activo entra en su radar.

Los operadores, por su parte, han entendido que la planificación plurianual de la protección física no puede ir al ritmo de la planificación plurianual de la red. La red se modifica con horizontes de diez años. La amenaza física cambia con horizontes de meses. Entre ambos ritmos, los activos móviles llenan el hueco. No es casualidad que REE, las distribuidoras del sistema y operadores comparables en Portugal y Francia hayan empezado a incluir en sus pliegos referencias explícitas a soluciones de videovigilancia desplegable. Es la respuesta lógica a un problema que la regulación no resolvió por sí sola.

Lo que permanece

La protección de una subestación eléctrica no se decide en el catálogo del fabricante, se decide en la lectura honesta de la cartera del operador, de su exposición real, de sus tiempos de respuesta, y del coste de oportunidad de dejar instalaciones sin cobertura mientras la modernización fija avanza a su propio ritmo. Las torres móviles no son la solución a todo. Son una capa táctica, complementaria, planificable, retirable. Quien las incorpora bien, gana margen de maniobra ante el CNPIC, ante CNMC, ante su aseguradora y ante el siguiente incidente. Quien las incorpora mal, suma un coste sin reducir un riesgo.

Para un operador que esté revisando su plan de protección específica o que tenga un horizonte de obra fija que no llega a tiempo, el camino más útil rara vez es comprar antes de pensar. La conversación confidencial de sesenta minutos que ofrecemos como primer paso permite poner sobre la mesa la cartera, los plazos y las restricciones, sin que nadie tenga que firmar nada. Cuando la conversación lleva a algo más concreto, la auditoría de tres a cinco días entrega un informe que el operador puede usar con o sin nosotros. Y si lo que tiene sentido es probar antes de comprometer, el piloto de noventa días sobre una subestación seleccionada deja datos que ninguna presentación comercial puede sustituir. Estas tres formas de trabajar están descritas con detalle en el libro BOSWAU + KNAUER. Del oficio constructor a la tecnología de seguridad, y se mantienen tal como están porque funcionan en este orden.

Preguntas frecuentes

¿Qué exige REE?

Red Eléctrica, en su condición de operador del sistema y gestor de la red de transporte, traslada a sus instalaciones críticas las exigencias derivadas de la Ley 8/2011 y de los planes específicos validados por el CNPIC. Esto incluye perímetro físico, control de accesos, videovigilancia con capacidad de evaluación remota, detección de intrusión y registro auditable. Los pliegos hacia contratistas y fabricantes recogen además requisitos de ciberseguridad sobre los propios dispositivos, en línea con las recomendaciones de CCN-CERT e INCIBE. El nivel de concreción técnica varía entre instalaciones de transporte y subestaciones de menor tensión.

¿Cómo se atacan subestaciones?

Los patrones observados en España y en países vecinos incluyen el robo de cobre con motivación económica, el sabotaje impulsivo contra elementos visibles, la intrusión exploratoria previa a un ataque mayor, y el ataque coordinado con objetivo de disrupción. El primero y el segundo son los más frecuentes. El tercero suele pasar desapercibido porque no deja sustracción. El cuarto es raro pero de alto impacto. La respuesta clásica de valla, cámara fija y ronda funciona contra los dos primeros si está bien diseñada, y llega tarde frente a los otros dos, donde el tiempo entre detección y reacción es decisivo.

¿Dónde encajan las torres?

Las torres móviles encajan en cuatro escenarios. Primero, subestaciones identificadas como vulnerables tras un incidente o una nueva valoración, donde la protección fija aún no se ha proyectado. Segundo, fases de obra de modernización donde la instalación fija no está operativa. Tercero, subestaciones de distribución con prioridad menor en el plan plurianual de inversión física pero con exposición real. Cuarto, ventanas tácticas asociadas a campañas de robo de cobre detectadas en una zona. En todos los casos la torre complementa, no sustituye, la planificación a largo plazo del operador.

¿Quién aprueba?

La aprobación interna corresponde al responsable de seguridad del operador, en coordinación con el responsable de protección de infraestructuras críticas designado ante el CNPIC. El CNPIC valida los planes pero no aprueba dispositivos concretos. La AEPD no aprueba previamente la videovigilancia, pero el operador debe documentar la base jurídica y las medidas asociadas en su registro de actividades de tratamiento. Las aseguradoras no aprueban formalmente, pero su opinión sobre el dispositivo de protección influye en la renovación de la póliza. CNMC supervisa el marco económico, no la solución técnica específica.