Las autoridades y las infraestructuras críticas (KRITIS) se ven sometidas a una presión constante. A pesar de que cada nueva interfaz aumenta la eficiencia, también amplía la superficie de ataque. Los ataques contra los sectores del transporte y la energía, así como contra las autoridades, han demostrado que la ciberresiliencia es un requisito fundamental para que puedan actuar con eficacia. Las infraestructuras complejas requieren un enfoque integrado que incluya la detección de amenazas basada en la inteligencia artificial, la gestión de la seguridad, el principio «Zero trust» y una arquitectura de cloud segura.
Los actos de sabotaje contra infraestructuras críticas, los ciberataques selectivos contra empresas de transporte y energía, así como las campañas coordinadas contra instituciones públicas, ponen de manifiesto que la situación de seguridad en Europa se ha agravado considerablemente. En un contexto de tensiones geopolíticas, los sistemas digitales se están convirtiendo cada vez más en el blanco de los atacantes. Los ataques ya no sirven solo para recopilar información, sino también para desestabilizar de forma selectiva.
Cada día, millones de ciudadanos dependen del correcto funcionamiento de los sistemas de transporte de cercanías y de larga distancia, de un suministro estable de energía y agua, de los servicios administrativos digitales y de la infraestructura médica. Si estos sistemas fallan o son manipulados, esto no solo provoca daños técnicos, sino que también conduce a una pérdida de confianza en la capacidad de actuación del Estado.
Al mismo tiempo, la transformación digital impulsa la expansión de las infraestructuras interconectadas. Los servicios en el cloud, los sistemas locales, los proveedores de servicios externos, los procedimientos especiales y los sistemas de control industrial coexisten. El sector público alemán está organizado en estructuras federales, desarrolladas históricamente y que se caracterizan por diferentes competencias, presupuestos y grados de madurez en materia de seguridad.
Con cada nueva interfaz crece la superficie de ataque. Con cada nueva integración aumenta la complejidad. Y con cada ataque exitoso, los atacantes perfeccionan sus métodos. La pregunta decisiva ya no es si se producirá un ataque, sino cuándo y con qué consecuencias.
¿Cómo se garantiza la capacidad de actuación del Estado cuando las amenazas son automatizadas, escalables y están cada vez más respaldadas por la inteligencia artificial (IA)?
Muchas de las arquitecturas de seguridad del sector público se diseñaron para un escenario de amenazas diferente. Se basan en el perímetro, son reactivas y dependen en gran medida de reglas predefinidas. Durante mucho tiempo bastó con mecanismos de protección individuales como los firewalls, la detección por firmas y las verificaciones específicas para repeler los patrones de ataque conocidos.
Sin embargo, hoy el panorama de amenazas es mucho más dinámico. Los atacantes actúan de forma descentralizada, automatizada y, en muchos casos, con apoyo de la IA. Combinan la explotación de vulnerabilidades técnicas con técnicas de ingeniería social, utilizan credenciales legítimas y se desplazan lateralmente por entornos tecnológicos complejos.
Al mismo tiempo, las infraestructuras modernas generan enormes volúmenes de datos, como archivos de registro, datos de red, movimientos de identidad, actividades en el cloud y mucho más. Esta avalancha de información supera la capacidad de gestión manual de la seguridad. Los responsables de seguridad se enfrentan a un exceso de alertas, a la escasez de personal especializado y a unas expectativas cada vez mayores en cuanto a velocidad de respuesta.
El resultado es que no todas las amenazas se detectan de inmediato. No todas las alertas se priorizan correctamente. Y no todas las medidas son eficaces en todos los niveles de la organización. Por ello, la resiliencia exige un cambio de paradigma: abandonar los mecanismos de protección aislados y avanzar hacia una supervisión coherente e inteligente y unos procesos de respuesta integrados.
La Agencia Europea de Ciberseguridad (ENISA)1 informa de que entre julio de 2024 y junio de 2025 se notificaron un total de 4875 incidentes de seguridad. Entre los sectores afectados se encuentran las administraciones públicas, los sectores del transporte y la energía, las infraestructuras digitales, los proveedores de servicios financieros y las empresas industriales. El análisis pone de manifiesto hasta qué punto sigue creciendo la superficie de ataque de los sistemas digitales críticos.
Según el mismo informe de ENISA, el 77 % de las incidencias de seguridad notificadas corresponden a ataques DDoS (denegación distribuida de servicio). Estos ataques paralizan temporalmente los servicios públicos y las infraestructuras críticas mediante una sobrecarga dirigida. A pesar de que los ataques de ransomware son menos frecuentes, suelen provocar daños económicos y alteraciones operativas mucho más graves.
El Informe de Situación 20252 de la Oficina Federal de Seguridad en la Tecnología de la Información (BSI) muestra que en Alemania se detectan una media de 119 nuevas vulnerabilidades de seguridad informática al día. Esto pone de manifiesto la celeridad con la que crecen las superficies de ataque de los sistemas digitales y lo rápido que los conceptos de seguridad tradicionales pueden llegar a sus límites.
Además de las incidencias de seguridad técnicas, el Informe sobre el Panorama de Amenazas de la UE de 2025 advierte de un entorno de amenazas cada vez más complejo: las tensiones geopolíticas y los patrones de ataque multifacéticos caracterizan el panorama cibernético actual. Tanto los actores respaldados por los Estados como los ciberdelincuentes recurren cada vez más a métodos automatizados impulsados por IA. Para las instituciones públicas y los operadores de infraestructuras críticas (KRITIS), esto incrementa considerablemente los desafíos relacionados con la prevención, la detección y la defensa frente a los ciberataques.
La IA por sí sola no convierte un sistema en resiliente. Solo despliega todo su potencial si se integra en una arquitectura de seguridad unificada. Esto se debe a que la IA depende de los datos, y hoy en día estos se generan en infraestructuras distribuidas e híbridas.
Los organismos públicos y los operadores de infraestructuras críticas trabajan cada vez más con servicios de cloud, centros de datos distribuidos, aplicaciones específicas del sector y proveedores externos. La información relevante para la seguridad se genera simultáneamente en redes, sistemas de gestión de identidades, dispositivos finales, entornos OT (Operational Technology) y plataformas de cloud.
Para que la IA pueda detectar amenazas de forma fiable, estas fuentes de datos deben estar consolidadas, estructuradas y disponibles para su análisis en tiempo real. Las arquitecturas de cloud seguras permiten la escalabilidad debido a que centralizan los datos de seguridad, estandarizan las políticas y proporcionan una visibilidad homogénea más allá de los límites operativos.
Solo una combinación de infraestructura de cloud, supervisión continua y detección y respuesta gestionadas, junto con análisis basados en IA, puede crear un modelo de seguridad capaz de seguir el ritmo de los ataques modernos.
Por tanto, la resiliencia no consiste únicamente en detectar ataques, sino también en integrar los procesos de seguridad de forma que la prevención, la detección y la respuesta funcionen de manera coordinada y fluida.
En muchos ámbitos, la IA se considera la tecnología clave para las arquitecturas de seguridad modernas. Sin embargo, por sí sola no basta. Su eficacia depende de la solidez de las estructuras en las que se integra.
Si las fuentes de datos están fragmentadas, las interfaces no son uniformes y las responsabilidades no están claramente definidas, incluso los sistemas de análisis más avanzados son incapaces de identificar las interrelaciones. La IA solo puede detectar anomalías si dispone de acceso a datos consolidados, de alta calidad y permanentemente disponibles.
Esto reviste especial importancia para el sector público y los operadores de infraestructuras críticas (KRITIS), cuyos procesos de seguridad deben estar estandarizados, las identidades deben gestionarse de forma clara, los datos de red deben supervisarse de manera centralizada y los entornos de cloud deben integrarse sin fisuras.
Una arquitectura de seguridad sólida debe combinar:
La IA solo puede identificar patrones, priorizar amenazas y generar recomendaciones accionables si se cumplen estas condiciones.
La resiliencia no surge de una única herramienta, sino de la interacción entre la arquitectura, la automatización y la experiencia humana.
El Centro de Ciberdefensa de T-Systems muestra cómo puede ser un enfoque integral de resiliencia en el sector público. Aquí se analizan a diario más de mil millones de eventos relevantes para la seguridad procedentes de más de 3000 fuentes de datos, desde redes de organismos públicos y entornos KRITIS hasta infraestructuras cloud y entornos de sistemas interconectados.
Los datos proceden de cortafuegos, sistemas de identidad, dispositivos finales, segmentos de red, plataformas cloud y entornos de control industrial. La combinación de todos estos elementos genera una visión global coherente y transversal para toda la organización, lo cual es un requisito indispensable para detectar a tiempo patrones de ataque complejos.
A esta escala, la evaluación manual deja de ser viable. Los mecanismos de análisis basados en IA se encargan de preclasificar la información: correlacionan eventos, identifican desviaciones respecto al comportamiento habitual y priorizan los procesos potencialmente críticos.
Por ejemplo, varios intentos de inicio de sesión aparentemente insignificantes procedentes de distintas regiones, combinados con consultas de datos inusuales y actividades paralelas en la red, pueden parecer inocuos si se analizan por separado. Sin embargo, al observar el conjunto, emerge un patrón: un ataque lateral en fase inicial o preparativos específicos para la exfiltración de datos.
Es precisamente aquí donde entra en juego el reconocimiento de patrones basado en IA. Este reduce los falsos positivos, correlaciona la información y proporciona una base sólida para la toma de decisiones en tiempo real.
Otro componente clave es la supervisión continua de las redes públicas para proteger la primera línea de defensa, comparable a un «detector de humo» digital. Este permite detectar de forma temprana las descargas sospechosas, las firmas conocidas de código malicioso o los patrones de comunicación inusuales. Los procesos automatizados pueden aislar segmentos afectados o restringir los accesos temporalmente para impedir la propagación.
Al mismo tiempo, las personas siguen desempeñando un papel esencial en el proceso. Los expertos en seguridad del Centro de Operaciones de Seguridad (SOC) evalúan los análisis que genera la IA, priorizan los incidentes y activan contramedidas coordinadas.
El resultado no es un sistema de defensa aislado, sino una arquitectura de seguridad integral con las siguientes ventajas:
Así se construye la resiliencia operativa; no mediante medidas aisladas, sino a través de un ecosistema de seguridad en evolución constante.
La tecnología por sí sola no es suficiente. Resulta fundamental contar con una combinación de responsabilidades claras, procesos estandarizados y una cultura de seguridad que entienda la resiliencia como una tarea permanente.
En este contexto, la soberanía digital va mucho más allá de la simple soberanía de los datos. Representa la capacidad de gestionar la propia infraestructura de forma controlada, tomar decisiones de seguridad de manera autónoma y mantener los sistemas críticos operativos incluso en situaciones de máxima presión.
Así, para las autoridades, los estados federados, los municipios y los operadores de infraestructuras críticas, la resiliencia se convierte en una herramienta estratégica de gestión. Genera confianza entre la ciudadanía, fortalece la estabilidad económica y mejora la resistencia frente a las tensiones geopolíticas.
Por ello, la pregunta clave para los próximos años no es cómo reaccionamos ante los ataques, sino más bien cómo diseñamos arquitecturas de seguridad capaces de evolucionar al mismo ritmo que la transformación digital.
La resiliencia no es un destino final. Es un proceso continuo sustentado en la tecnología, los conocimientos especializados y un firme compromiso con la gestión responsable de las infraestructuras digitales.
En el sector público, una ciberresiliencia efectiva no se logra mediante medidas aisladas, sino a través de arquitecturas de seguridad integradas. T-Systems combina plataformas tecnológicas con una amplia experiencia en seguridad operativa.
Zero Trust y gestión de identidades: verificación continua de identidades, modelos de acceso basados en roles y segmentación sistemática de los sistemas administrativos sensibles y los entornos KRITIS.
Centro de Ciberdefensa y servicios SOC integrados: evaluación centralizada de la situación, análisis diario de miles de millones de eventos importantes para la seguridad y procesos de respuesta coordinados para organismos públicos y operadores de KRITIS.
1 ENISA Threat Landscape 2025, ENISA, 2025, ENISA
2 The state of IT security in Germany in 2025, BSI, 2025, BSI
