Julia Maria Gomez de Avila Segade | 09/10/2025
En todo el mundo, los cimientos que sostienen la vida diaria se apoyan en tecnologías con décadas de antigüedad. Ciertas instalaciones no progresan ni se actualizan al ritmo de desarrollo de la sociedad y esto supone un verdadero riesgo para la seguridad colectiva.
Mientras las amenazas digitales y sus soluciones evolucionan a toda velocidad, muchas de las infraestructuras básicas siguen dependiendo de software sin soporte, sistemas caducos o componentes industriales que no han sido diseñados para estar conectados a internet. Ahora el riesgo ya no es una teoría, sino un problema operativo que puede traducirse en incidentes graves.
Este desfase es un factor creciente que amenaza la seguridad, la resiliencia frente a fallos o la continuidad de los servicios. Si los equipos o protocolos que sostienen redes de energía, agua, transportes, comunicaciones o salud dejan de recibir soporte, piezas de recambio o actualizaciones, pierden fiabilidad, aunque sigan funcionando.
Motivos principales
Las causas de la obsolescencia tecnológica se deben a diversos factores. Dos de los más evidentes son la edad y el ciclo de vida de los sistemas. Muchos de ellos fueron diseñados originalmente para durar varias décadas, pero con el tiempo, los fabricantes dejan de producir repuestos o de actualizar el firmware. Para muchos operadores, la opción de alargar la vida útil de estos equipos se ve como una manera de reducir costes. Sin embargo, esto genera riesgos importantes, como se señala en estudios como el informe Gestión de riesgos y cumplimiento de la normativa en sitios peligrosos envejecidos, elaborado por el Centro Común de Investigación de la Comisión Europea. En él, se advierte sobre la necesidad de combatir la obsolescencia para mitigar los peligros asociados.
Otro desafío clave es la dependencia tecnológica y lo que se conoce como “deuda técnica”. Con el paso de los años, las integraciones puntuales y los “parches sobre parches” dan lugar a sistemas tan heterogéneos que son difíciles de mantener. Del mismo modo, se aprecia una falta de personal especializado en la resolución de esta obsolescencia tecnológica, lo que agrava el riesgo. ENISA, la Agencia de la Unión Europea para la Ciberseguridad, ha identificado la escasez de habilidades y sistemas sin parchear como amenazas clave para 2030.
Un factor adicional es la compatibilidad: muchos sistemas antiguos no fueron diseñados para integrarse con las tecnologías actuales. Esto significa que carecen de protocolos de seguridad modernos, como el cifrado o la autenticación avanzada, lo que hace que su actualización sea aún más complicada. Este es un aspecto especialmente crítico en sectores como la energía, el agua o las comunicaciones, donde cualquier fallo en la infraestructura pude tener consecuencias críticas.
Por último, también influyen los factores económicos y regulatorios. Las inversiones tienden a concentrarse en la expansión o en el corto plazo, retrasando la renovación. Las normativas desactualizadas y la falta de claridad en las responsabilidades también juegan un papel importante en la falta de previsión. Por eso, hace algunos años, en el marco europeo se llegó a la conclusión de que era necesario un cambio en la forma en que se gestionan y mantienen estas infraestructuras críticas.
Europa, en busca de la resiliencia
En 2022 entraron en vigor en la Unión Europea dos directivas con un objetivo claro: reducir los riesgos y fortalecer la resiliencia de las infraestructuras críticas y digitales frente a amenazas tanto online y como offline. Esto abarca un amplio espectro, incluyendo salud pública, desastres naturales, ciberataques y otros riesgos. A continuación, mencionamos las dos Directivas de la Unión Europea en busca de la resiliencia:
1. Directiva sobre la Resiliencia de Entidades Críticas (CER). Sustituyó a la Europea de Infraestructuras Críticas de 2008. La nueva norma tiene como objetivo reforzar la resiliencia ante diversas amenazas y abarca entidades como energía, transporte, banca, mercados financieros, salud, agua (potable y residual), infraestructuras digitales administraciones públicas o la alimentación.
Los estados miembros de la UE deben adaptarse realizando una evaluación de riesgos al menos cada cuatro años para identificar a las entidades críticas que prestan servicios esenciales —para que tomen medidas adecuadas y reporten incidentes—, así como adoptar una estrategia nacional.
2. Directiva sobre medidas para un elevado nivel común de ciberseguridad en toda la Unión Europea (NIS 2). Esta directiva garantiza una Europa más segura y fuerte al ampliar los sectores y tipos de entidades críticas incluidas en su ámbito de aplicación. Además, aumenta los requisitos de gestión de riesgos que las empresas tienen obligación de cumplir, agilizando la obligación de notificación de incidentes.
Incluye a los proveedores de redes, servicios públicos de comunicaciones, centros de datos, gestión de residuos y aguas residuales, fabricación de productos básicos, servicios postales y de mensajería, administraciones públicas y sector sanitario, como las más destacadas. Desde su aprobación, constituye la primera legislación a nivel europeo sobre ciberseguridad.
El impacto por sectores
ENERGÍA
El mundo depende de la energía, que es fundamental prácticamente para todas las actividades. Las redes eléctricas actuales combinan equipos antiguos con nuevos nodos inteligentes. Su obsolescencia puede provocar tanto interrupciones locales como amplificaciones. Estudios sobre smart grids —sistemas de distribución eléctrica que integra tecnología digital y de comunicación para optimizar el suministro— muestran que aumenta la exposición cuando componentes antiguos no se actualizan.
AGUA
Otra infraestructura crítica es el agua. Las plantas de tratamiento y redes de abastecimiento de aguas usan PLC (Controladores Lógicos Programables) y SCADA (Supervisión, Control y Adquisición de Datos) con interfaces anticuadas. Por eso, sus fallos o vulnerabilidades no parcheadas pueden comprometer la calidad del agua o la disponibilidad del servicio, con impacto en la salud pública.
TRANSPORTES
El sistema ferroviario es uno de los más obsoletos, aunque no es el único. La señalización ferroviaria, el control de tráfico aéreo y la gestión del tráfico vial emplean controladores y protocolos heredados. Su actualización es compleja a causa de los requisitos de certificación y seguridad funcional, lo que suele conducir a alargar la vida útil de sistemas arcaicos y a elevar el riesgo operacional.
TELECOMUNICACIONES
Aunque el sector es bastante dinámico, algunos elementos de la infraestructura pasiva (como redes de retorno, sistemas de soporte de operaciones o empresarial y equipamiento de operadores locales) pueden quedar obsoletos. Además, la dependencia de hardware específico y la falta de soporte crean vectores de fallo y posibles vulnerabilidades.
Operadores y reguladores, en acción
Las mayores responsabilidades para evitar que la obsolescencia tecnológica sea una amenaza para los sectores críticos recaen sobre operadores y reguladores. Según diferentes organismos, estas serían algunas soluciones prácticas:
- Elaborar un inventario y análisis de la gestión del ciclo de vida
- Crear una segmentación y aplicar controles compensatorios cuando la sustitución inmediata no es posible
- Apostar por una modernización progresiva, con migraciones por capas minimicen interrupciones
- Evitar la redundancia e impulsar los diseños resilientes
Desarrollar políticas de mantenimiento y soporte extendido - Impulsar la capacitación y la retención del talento
- Realizar evaluaciones frecuentes y pruebas de estrés
En España, el Centro Nacional de Protección de Infraestructuras Críticas, en su Plan de Protección Específico, desarrolla una línea que prioriza las acciones en función del riesgo, estructura las medidas de seguridad según su naturaleza, asigna responsabilidades en la implantación de las medidas, realiza una planificación completa y detallada y, por último, establece un mecanismo de seguimiento por medio de métricas que permita conocer el estado de las acciones.
En conclusión, la obsolescencia en infraestructuras críticas no es solo una cuestión de mantenimiento, sino un desafío organizativo, económico y regulatorio. La buena noticia es que el marco europeo ofrece una hoja de ruta clara, pero la presión del tiempo sigue siendo un factor crítico. La estrategia más eficaz será aquella que combine una modernización planificada con un cumplimiento normativo estricto. El verdadero reto radica en lograr una coordinación efectiva entre gobiernos, reguladores, operadores y proveedores, para garantizar que las infraestructuras esenciales no se conviertan en un punto vulnerable debido al envejecimiento tecnológico.
