Cristina Leon Vera | 10/07/2025
Los centros de datos enfrentan diversos riesgos —cortes de energía, condiciones ambientales extremas, errores humanos, ciberataques o incendios— que pueden comprometer su operatividad. Para minimizar su impacto, es clave implementar medidas preventivas y sistemas de detección temprana que permitan una respuesta rápida.
Los centros de protección de datos (CPD), conocidos como data centers, son la base sobre la que se sostiene la infraestructura de servicios informáticos. Albergan, procesan y distribuyen grandes volúmenes de información, y su tamaño puede ir desde una planta hasta edificios completos. Para operar con fiabilidad, requieren condiciones constructivas y tecnológicas específicas. Pero ¿a qué riesgos se enfrentan realmente? Sobre ello conversamos con Francisco José Herrera Luque, experto en Ciberseguridad y Riesgo Operacional del Banco Central Europeo y profesor del Máster en Ciberseguridad de la Universidad Pontificia Comillas (ICAI).
“Desde el punto de vista de la seguridad, el principal riesgo es la disponibilidad del servicio que ofrece el data center, es decir, que los servidores alojados en él puedan seguir funcionando con normalidad”, explica Herrera. Esta disponibilidad puede verse comprometida por múltiples factores: desde un corte en el suministro eléctrico —los conocidos apagones— hasta una conectividad insuficiente con el exterior, pasando por fallos en las condiciones físicas o ambientales que requieren los servidores, o problemas en la propia estructura del edificio que los alberga. En todos estos casos, se genera una indisponibilidad del servicio que puede suponer un alto coste económico para las empresas que dependen de estos sistemas. Por ello, es fundamental estar preparados ante cualquier amenaza que ponga en riesgo su operatividad.
Principales riesgos de un data center
Entre los múltiples riesgos que afronta un data center se encuentran las amenazas ambientales, especialmente si está ubicado en zonas propensas a inundaciones o terremotos. Estas instalaciones precisan unas características constructivas específicas, ya que si se instalan en un edificio no acondicionado podría llegar a colapsar. Otro riesgo crítico es la pérdida de suministro eléctrico: no contar con una potencia suficiente y una conectividad de red robusta adecuada que te permita no quedar aislado. Además, controlar las condiciones físicas y ambientales es clave, ya que un exceso de temperatura, humedad o polvo puede provocar fallos y cortar el servicio.
No obstante, los riesgos más frecuentes suelen provenir de errores humanos y fallos técnicos. “En operaciones de mantenimiento puede haber errores, configuraciones mal hechas que interrumpan un tramo de la red o algo deje de funcionar por una mala configuración”, señala Herrera. Asimismo, los elementos técnicos tienen un tiempo de vida útil, “por eso es importante el mantenimiento preventivo, cambiarlos antes de que fallen”. Aun así, las incidencias en un data center no son muy frecuentes, según el experto en ciberseguridad. “Cualquier cambio de configuración se debe realizar conforme a un plan preestablecido, y si se produce alguna incidencia durante su ejecución o pasa algo que no estaba previsto, retrocedes sobre tus pasos y lo dejas como estaba”.
Herrera también distingue entre ciberataques y ciberincidentes: ambos comprometen la confidencialidad, la integridad o la disponibilidad de la información o de los sistemas, pero difieren en su origen. Si el evento es intencionado, se considera un ciberataque; cuando es un error, hablamos de un ciberincidente. En el primer grupo podrían incluirse los sabotajes, como frenar un servicio tirando el CPD en el que están los servidores, interrumpiendo la conectividad de red o el flujo eléctrico, o infiltrar a alguien en una empresa de mantenimiento para que altere los sistemas o instale un malware para espiarte.
Medidas de prevención
En los centros de datos se aplica con rigor el refrán “más vale prevenir que curar”. Por ello, incorporan medidas preventivas y disponen de múltiples recursos redundantes. “Una mitigación muy grande, la más potente para la falta de disponibilidad, es tener los elementos redundados, así, si te falla cualquier cosa la rediriges. Es lo que te da mayores garantías”, advierte Herrera. Por ejemplo, disponer de conexiones externas bien dimensionadas y duplicadas evita que el data center quede aislado.
Aunque existen sistemas de monitorización, detección y protocolos de respuesta, la clave de la seguridad en un centro de datos sigue siendo lo preventivo. Desde aspectos básicos como la ubicación, el diseño estructural o el tipo de suelo, hasta componentes críticos como el suministro eléctrico, la conectividad, los racks o los sistemas de refrigeración. “Los CPD son instalaciones que pueden costar cientos de millones de euros. Hay elementos más configurables, como la detección de problemas: controles ambientales, de humedad, de contaminantes, los controles de acceso, detectores de movimiento, etc. Pero el grueso del coste son controles preventivos”, subraya el experto.
Controles de seguridad y medidas de detección
Al margen de la disponibilidad del servicio, la seguridad en un data center también implica proteger la confidencialidad y la integridad de la información. Para ello, se aplican controles de seguridad física en la sala de servidores “para que nadie entre y coloque o configure a mala idea dispositivos que no deba”, y controles de seguridad lógica, “para que no se produzcan espionajes o alteraciones”.
El acceso a la sala de los servidores es muy restringido: se necesita una autorización previa, un plan concreto de actuación y un tiempo determinado. Todas las entradas en esa sala llevan un registro. Existe otra zona en la que están los empleados, que deben formarse y tomar conciencia de cualquier peligro, pues además de saber ejecutar sus tareas “pueden ser el blanco de la ingeniería social, porque ellos también son un control”, explica Herrera.
Para detectar cualquier incidente, los centros disponen de sistemas que monitorizan todos los parámetros críticos que garantizan el correcto funcionamiento de los servidores. También cuentan con circuitos cerrados de televisión, detectores de intrusiones, barreras físicas, puertas que aíslan fuegos, vigilantes de seguridad o sistemas de extinción, entre otros.
Los servidores suelen estar apilados en unos armarios negros, en salas equipadas con filtros contra contaminantes y sistemas antiincendios. En otro espacio, los operadores atienden los sistemas de monitorización y control. “Cuando se producen alertas, los operadores tienen sus procedimientos de actuación: redirigir el tráfico, ajustar la temperatura… Dependiendo del tamaño y la complejidad de la instalación son controles más o menos sofisticados”, aclara Herrera.
Respuesta ante incidentes: planificación y redundancia
Cuando se producen fallos en los servidores, se activan planes de continuidad que permiten mantener las operaciones esenciales hasta que se resuelva la incidencia. Para ello, los data center disponen de sistemas de alimentación ininterrumpida, generadores de gasoil, varias máquinas de refrigeración —por si una falla— o diversos sistemas electrónicos de respaldo. También se establecen contratos con proveedores que garantizan el suministro y asumen penalizaciones si no cumplen los compromisos con el cliente.
“El coste de estar parados es tan alto que merece la pena tenerlo todo redundado en varios sitios”, advierte Herrera, partidario de distribuir los servidores en diferentes centros de datos. De hecho, según un informe del Ponemon Institute, el coste medio de un fallo no planificado en un centro de datos puede alcanzar los 8.000 euros por minuto.
En cualquier caso, Francisco José Herrera subraya que no basta con diseñar planes de contingencia: también deben probarse regularmente. “Las capacidades contingentes se diseñan y se prueban en tiempo de paz, porque cuando surge el incidente no hay margen de reacción. Si aquello no funciona, estás perdido”, concluye.
HA COLABORADO EN ESTE ARTÍCULO…
Francisco José Herrera Luque es experto en Ciberseguridad y Riesgo Operacional en la Dirección General de Infraestructuras de Mercado y Pagos del Banco Central Europeo, y Profesor del Máster en Ciberseguridad de la Universidad Pontificia de Comillas (ICAI) de Madrid. Ingeniero de Telecomunicación por la Universidad Carlos III de Madrid, cuenta con 15 años de experiencia en el ámbito de la ciberseguridad en diferentes puestos, abarcando las tres líneas de defensa y comprendiendo los ámbitos académico -como investigador en la Universidad Carlos III de Madrid y en Deutsche Telekom Laboratories-, de las operaciones de seguridad -como Ingeniero de Seguridad en Airbus Military-, de la consultoría y los servicios de seguridad gestionada -como Jefe de Equipo y Gerente en Deloitte Cyber)- y de la banca central -como Inspector de Riesgos Tecnológicos para el Mecanismo Único de Supervisión en Banco de España y como Experto en Ciberseguridad para la ciberseguridad interna del Banco de España y para
