Cualquiera puede comprar un ejército silencioso

En diciembre de 2018, un objeto del tamaño de una mochila paralizó el segundo aeropuerto más transitado del Reino Unido. Durante unas treinta y seis horas, las autoridades de Gatwick registraron 170 avistamientos de drones sobre la pista, 115 considerados creíbles por la policía. Cancelaron unos mil vuelos. Afectaron a cerca de 140.000 pasajeros.

Nunca encontraron a los responsables. Nunca recuperaron un dispositivo. La investigación, después de movilizar a la policía, al ejército y a sistemas de detección de última generación, terminó sin un solo condenado.

Lo inquietante no es que ocurriera. Lo inquietante es lo poco que costó hacerlo.

En la newsletter pasada planteé una idea que conviene desarrollar, porque es el eje de todo lo demás: el drone no es la amenaza. La amenaza es la universalización de capacidades que hasta hace muy poco estaban reservadas a activos militares. Vigilancia aérea persistente, transporte de carga dirigido, interferencia electromagnética, ataque cinético de precisión. Todo eso cabe hoy en un presupuesto que un particular motivado puede asumir.

La barrera ya no es técnica ni económica. Es, en el mejor de los casos, moral.

Aquella newsletter solo abrió la puerta. Este texto entra en la habitación. Mi intención aquí es desplegar el mapa completo de la amenaza, aplicar con rigor el modelo de las nueve celdas que estructura mi forma de pensar la seguridad y, sobre todo, separar lo que un operador privado en España cree que puede hacer de lo que realmente puede hacer. Esa distancia, anticipo, es mayor de lo que casi nadie admite.

El mapa que nadie dibuja completo

Cuando preparé el episodio de «Realidad de la Seguridad Global» sobre drones, hice un ejercicio que recomiendo a cualquier responsable de seguridad: dibujar el ecosistema entero en una sola hoja. No la tecnología, sino los actores. Quién, por qué, con qué y contra qué.

El resultado incomoda. No por la sofisticación del extremo superior, los Estados, sino por lo poblado que está el extremo inferior. El coste de entrada para un individuo es ya suficientemente bajo como para cruzar la línea. No hablo de un futuro hipotético. Hablo del presente verificable.

Actor	Motivación dominante	Capacidad típica	Objetivo preferente
Estado / actor militar	Ataque asimétrico, desgaste	Enjambres, ataque cinético, guerra electrónica	Infraestructura crítica, fuerzas adversarias
Grupo armado / proxy	Sabotaje, propaganda	Carga explosiva, vigilancia	Energía, transporte, símbolos
Crimen organizado	Logística ilícita, intimidación	Transporte de carga, vigilancia	Puertos, prisiones, fronteras
Activismo / extremismo	Propaganda, disrupción	Vigilancia, intrusión en eventos	Eventos masivos, sedes, personas
Espionaje corporativo	Inteligencia competitiva	Vigilancia, captura de datos	Plantas industriales, I+D
Individuo (curioso o resentido)	Notoriedad, venganza, juego	Drone comercial, FPV (first-person view, pilotados en vista en primera persona)	Aeropuertos, personas, instalaciones propias

Los datos que sostienen esta tabla no son teóricos. En la madrugada del 3 de junio de 2026, Rusia lanzó 656 drones y 73 misiles en un solo ataque sobre Ucrania, una escala que hace cinco años habría parecido ciencia ficción militar. A lo largo de 2025, drones sin origen identificado sobrevolaron de forma repetida centrales nucleares y otras infraestructuras críticas en distintos puntos de Europa, desde la central belga de Doel hasta instalaciones nucleares francesas, sin que en la mayoría de los casos se identificara su origen ni su intención.

Conviene detenerse en lo que significa cada fila, porque la tabla resume, pero no explica.

• El Estado es el actor que siempre estuvo ahí y el que menos debería sorprendernos. Lo que ha cambiado en su caso no es la capacidad, sino la escala y el descaro. Un enjambre de cientos de aparatos coordinados deja de ser una operación de élite para convertirse en una rutina de campaña. Y la frontera entre el frente y la retaguardia se difumina, porque la misma tecnología que cae sobre una posición militar puede caer sobre una subestación eléctrica a quinientos kilómetros.

• El crimen organizado dejó de ser una hipótesis hace tiempo. En el Estrecho, las Fuerzas y Cuerpos de Seguridad del Estado han desmantelado organizaciones que empleaban drones de ala fija de varios metros de envergadura, capaces de transportar veinte kilos de droga por trayecto. Cada uno de esos aparatos es una prueba de que la capacidad de transporte aéreo no tripulado ya está integrada en cadenas de valor ilícitas que funcionan, que escalan y que aprenden. Un drone que hoy mueve droga sobre el muro de una prisión es, mañana, el mismo drone que mueve otra cosa sobre otro muro. El vector no tiene ideología. La tiene quien lo pilota.

• El espionaje corporativo es la fila que más se ignora en los comités, porque no hace ruido. No derriba nada ni sale en el telediario. Se limita a sobrevolar una planta piloto, una nave de I+D o una instalación en construcción y a llevarse lo que no debería salir de allí. El daño no se mide en pasajeros afectados, sino en una ventaja competitiva que desaparece sin que nadie sepa cuándo se fue.

• El extremo del individuo es el que conviene mirar de frente. Gatwick no fue obra de un Estado. Bastó alguien con un dispositivo de consumo, conocimiento elemental y la decisión de hacer daño. La columna de actores, cuando la completas con honestidad, no se estrecha hacia arriba. Se ensancha hacia abajo.

Ahí está la verdadera ruptura de la última década. Un Estado siempre fue capaz de hacer esto. Lo nuevo es que ahora también puede hacerlo una persona sola con tiempo libre y convicción. La brecha entre capacidad estatal e individual se ha cerrado lo suficiente como para que la distinción deje de ser relevante para quien gestiona una instalación. Lo que importa no es quién lo lanza, sino lo que ocurre cuando llega.

Las nueve celdas del drone

Quien me ha leído antes sabe que no creo en la seguridad como muro. Creo en la seguridad como tejido. Por eso uso un modelo sencillo y exigente: cruzar tres funciones, prevención, detección y recuperación, con tres dimensiones, física, lógica y humana. Nueve celdas. La frase que repito hasta el cansancio: una celda vacía no es un hueco, es una puerta.

Aplicado a la amenaza drone, el modelo deja de ser una metáfora y se convierte en una lista de tareas.

Prevención

• Física. Barreras pasivas, mallas en zonas sensibles, diseño de instalaciones que limite las trayectorias de aproximación, control del espacio aéreo inmediato. Es la columna donde casi todo el mundo se siente cómodo, porque se parece a la seguridad de toda la vida. El problema es que la seguridad de toda la vida pensaba en el suelo, no en el aire. Un muro de tres metros no significa nada para algo que entra por arriba.

• Lógica. Geocercado (geofencing), registro obligatorio de dispositivos, integración con sistemas de gestión del tráfico aéreo no tripulado, acuerdos con fabricantes para limitar capacidades por software. Aquí empieza la incomodidad, porque depende de terceros y de normativa que evoluciona con retraso respecto a la tecnología. Un fabricante puede actualizar su geocercado mañana. Un atacante decidido lo desactiva esta tarde con un manual encontrado en un foro.

• Humana. Inteligencia previa, vigilancia de comunidades de aficionados, detección temprana de intenciones, formación del personal para reconocer reconocimientos hostiles. La prevención humana es la que anticipa el ataque antes de que el aparato despegue. Es la celda más barata y la más subestimada. Quien va a atacar una instalación suele sobrevolarla antes, varias veces, para aprenderla. Esos vuelos de reconocimiento son una advertencia. Casi nadie los está leyendo.

2.2     Detección

• Física. Radar, sistemas electroópticos, acústicos e infrarrojos. El radar IRIS de Robin Radar Systems, integrado en iniciativas como Squadrone.es para la protección del espacio aéreo español, vive en esta celda. Detecta lo que vuela, emita o no señales. Es cara, exige integración seria y no la compra quien busca tranquilizarse rápido con una caja en el techo.

• Lógica. Detección por radiofrecuencia, análisis del espectro, identificación de protocolos de control. Es la tecnología más extendida. También, paradójicamente, la más frágil ante la amenaza emergente, por razones que desarrollo a continuación. Detecta muy bien lo que habla por radio. El problema llega cuando el atacante deja de hablar.

• Humana. El operador que interpreta la pantalla, distingue una amenaza de un pájaro y decide si lo que ve merece una respuesta. Ninguna detección automática sustituye ese juicio. Y ese operador, en muchas instalaciones, es la misma persona que vigila otras cuarenta cámaras a las tres de la madrugada.

Recuperación

• Física. Protocolos de evacuación, contención de daños, continuidad operativa tras el incidente, restablecimiento del servicio afectado. La pregunta que casi nadie se hace: si un drone cae dentro de mi planta, ¿quién lo retira, cómo, y qué hago con la zona mientras tanto?

• Lógica. Cadena de custodia de la evidencia digital, análisis forense del dispositivo capturado, trazabilidad de la señal de control para atribuir el ataque. Aquí se decide si el incidente acaba en un parte interno o en una atribución que sostiene una denuncia.

• Humana. Coordinación entre cuerpos de seguridad, gestión de la comunicación pública, aprendizaje organizativo posterior. Quién manda, quién decide, quién explica lo ocurrido. La parte que siempre se improvisa el día del incidente, que es el peor día para improvisarla.

Ahora la pregunta incómoda: ¿qué celdas suelen quedar vacías?

Las organizaciones llenan con entusiasmo la columna de prevención y compran tecnología para la detección lógica, la basada en radiofrecuencia. Ahí termina el esfuerzo de la mayoría. La detección física avanzada cuesta dinero. La recuperación, en sus tres dimensiones, casi no existe, porque presupone que el ataque va a ocurrir, y eso es exactamente lo que nadie quiere asumir en un comité de seguridad.

La celda más peligrosa es la detección lógica cuando se cree completa. Los drones guiados por fibra óptica, incluidos los FPV que usan esta tecnología, no emiten señal de radio. Son invisibles para los sistemas que detectan radiofrecuencia, que son precisamente los más vendidos y los más instalados. Una organización que confíe solo en esa celda tiene la sensación de estar protegida y, al mismo tiempo, una puerta abierta de par en par.

Merece la pena entender por qué esto no es un fallo del producto. La detección por radiofrecuencia funciona escuchando la conversación entre el drone y su mando. Un FPV pilotado en vista en primera persona también habla por radio, pero un drone guiado por fibra óptica lleva un cable finísimo que lo une físicamente a su operador y no emite absolutamente nada. No hay señal que escuchar. El sensor más caro de radiofrecuencia ve exactamente lo mismo que el cielo vacío: nada.

Ese es el sentido literal de la frase. La celda no está rota. Está vacía. El atacante que conoce el modelo ataca exactamente por ahí. Y conoce el modelo, porque lo que acabo de explicar circula en cualquier foro especializado y en cualquier vídeo de campo de los últimos dos años de guerra en Ucrania.

El falso positivo como dilema real

En la guerra, la decisión es brutal pero clara: si un objeto no identificado entra en tu espacio aéreo protegido, lo neutralizas. El coste del error tiende hacia un solo lado.

En entorno civil, esa lógica se desmorona. Sobre una ciudad, sobre un evento masivo, sobre un puerto rodeado de población, cada respuesta arrastra consecuencias. Derribar un drone significa que algo cae del cielo, y debajo del cielo hay gente. Interferir su señal puede afectar a comunicaciones legítimas, a dispositivos médicos, a la navegación de aeronaves cercanas. Tomar el control de un aparato exige una cobertura legal que, en muchos casos, todavía no existe con la claridad suficiente.

El falso positivo deja de ser un problema técnico y se convierte en un dilema de gobernanza. ¿Quién asume la responsabilidad de derribar un dispositivo que resulta ser el juguete de un adolescente? ¿Quién responde si la contramedida causa más daño que la amenaza que pretendía neutralizar?

Gatwick es también un caso de estudio sobre esto. Parte de la parálisis no vino de la incapacidad de detectar, sino de la incapacidad de decidir. Cada avistamiento obligaba a cerrar la pista por precaución, porque el coste de equivocarse en la dirección contraria era inasumible. La amenaza no necesitó causar daño. Le bastó con generar la duda.

Esa es la lección que pocos extraen. Un atacante racional no busca derribar el sistema. Busca colocar al defensor ante una decisión imposible y dejar que su propia prudencia lo paralice. Treinta y seis horas de aeropuerto cerrado no las provocó un explosivo. Las provocó una duda bien colocada y mantenida en el tiempo.

La gobernanza en España agrava el dilema. La legislación está fragmentada, la cadena de mando ante un incidente real no siempre es clara y los procedimientos de evidencia se están escribiendo todavía. El Plan de Acción contra Amenazas de Drones que la Comisión Europea publicó el 11 de febrero de 2026 reconoce esta brecha y trata de armonizar respuestas. Es un avance. No es aún una solución operativa para quien tiene que decidir esta noche, en su instalación, con la normativa que hay.

Quien gestiona seguridad sabe lo que significa esa frase. Una directiva europea tarda años en bajar a un procedimiento que un operador de turno pueda aplicar a las tres de la madrugada. Mientras tanto, la decisión sigue cayendo sobre alguien que no tiene ni la potestad ni la cobertura para tomarla bien. Por eso el dilema no se resuelve comprando más tecnología. Se resuelve decidiendo, antes del incidente, quién decide.

Lo que puede hacer un operador privado en España

Aquí está, creo, el punto más útil de todo el texto, y el que genera más malentendidos en las reuniones.

Lo que un operador privado cree que puede hacer suele incluir: detectar drones en su perímetro, identificarlos y neutralizarlos cuando representen una amenaza. La intuición dice que, si proteges tu instalación, puedes defenderla del aire igual que del suelo. Si puedo poner un vigilante en la puerta, ¿por qué no puedo bajar lo que sobrevuela mi tejado?

Lo que un operador privado realmente puede hacer hoy en España es mucho más concreto y mas restrictivo.

Puede detectar. Instalar radar, sistemas electroópticos y acústicos, e incluso detección por radiofrecuencia, siempre que la captura de datos respete la normativa de protección de datos y de espectro radioeléctrico. La detección pasiva es, en general, terreno permitido.

Puede alertar y coordinar. Establecer protocolos con las Fuerzas y Cuerpos de Seguridad del Estado, integrar su detección en una respuesta que ellos lideran, preparar la evidencia para que sea útil. La inteligencia y la coordinación son competencia propia y subutilizada. Es, además, lo más barato y lo más eficaz, y casi nadie lo tiene escrito antes de necesitarlo.

Lo que un operador privado no puede hacer, salvo excepciones muy tasadas, es neutralizar de forma autónoma. Interferir la señal de un drone es, con carácter general, una potestad reservada a determinadas autoridades. Tomar el control o derribar el aparato entra en un terreno donde la iniciativa privada carece de cobertura legal clara y donde un error genera responsabilidad penal, no solo administrativa.

Conviene entender por qué la ley se pone tan estricta justo aquí. La neutralización no es un acto perimetral: es un acto que proyecta efectos fuera de tu instalación. La señal que interfieres no se detiene en tu valla. El aparato que derribas no cae siempre donde tú quieres. Por eso el legislador reserva esa capacidad a quien puede responder con el respaldo del Estado detrás. No es burocracia sino responsabilidad.

La neutralización efectiva sigue siendo, en la práctica, una capacidad del Estado. El Ministerio de Defensa lo reconoce de forma implícita con su programa de I+D de 2026 para desarrollar un interceptor C-UAS (Counter-Unmanned Aircraft Systems) de bajo coste, porque entiende que la asimetría económica es insostenible y porque la respuesta cinética requiere mando público.

El operativo C-UAS desplegado durante la visita del papa León XIV en junio de 2026 funcionó precisamente porque se articuló bajo un mando público único, coordinado por el Ministerio del Interior, con detección centralizada (sistema SIGLO-CD) y neutralización en manos de quien tenía la potestad de ejercerla. La detección la aportó quien la tenía. La decisión de neutralizar la tomó quien tenía la potestad de tomarla. Ese es el modelo realista, no el de la fortaleza autónoma. Nadie protege un evento de ese nivel comprándose un cañón antidrone y montándolo por su cuenta.

La consecuencia práctica para un CISO o un director de seguridad es incómoda pero liberadora: su trabajo no es derribar drones. Su trabajo es construir las celdas que le corresponden, detección física y lógica, recuperación en sus tres dimensiones, inteligencia humana, y articular de antemano la coordinación con quien tiene la potestad de neutralizar. Quien invierte todo su presupuesto soñando con un cañón antidrone está llenando una celda que no es suya y dejando vacías las que sí lo son.

El operador que pregunta primero «¿qué compro para derribarlos?» está haciendo la pregunta equivocada. La buena es otra. «Si entra uno esta noche, ¿quién lo ve, quién decide y a quién llamo?» Esa pregunta no cuesta cien mil euros. Cuesta una tarde de trabajo y un acta de coordinación firmada siendo mucho más útil que el cañón.

Mi perspectiva

El mayor riesgo casi nunca es el que aparece en los titulares. El mayor riesgo es la celda vacía que la organización cree que tiene cubierta.

La amenaza drone exhibe ese error en estado puro. Tenemos tecnología deslumbrante en detección por radiofrecuencia, y mientras la admiramos, un aparato guiado por fibra óptica entra sin emitir un solo vatio. Compramos la columna de prevención y olvidamos la de recuperación, como si decidir que un ataque no ocurrirá fuera lo mismo que impedirlo.

El drone no inaugura un problema nuevo de seguridad. Lo revela con una claridad que pocas amenazas alcanzan. Universaliza una capacidad antes reservada a Estados y, al hacerlo, obliga a admitir que ninguna capa basta por sí sola. Que la seguridad no es un muro sino un tejido. Que una puerta abierta en la pared anula el grosor de todas las demás.

Hay algo casi pedagógico en esta amenaza. Durante años hemos hablado de defensa en profundidad como un concepto que sonaba bien en una diapositiva. El drone lo convierte en algo tangible. Te enseña, con un cable de fibra óptica de cien gramos, que tu inversión más cara puede no servir de nada si está mal repartida. No castiga la falta de presupuesto. Castiga la falta de criterio.

La pregunta real no es técnica, sino como suele pasa, es de gobernanza y de honestidad. Si mañana un dispositivo invisible para sus sistemas sobrevolara tu instalación, ¿sabe con exactitud quién detecta, quién decide y quién responde? ¿O esa cadena solo existe en una diapositiva que nadie ha probado?

Mira tu mapa de nueve celdas. No me digas cuáles tiene llenas. Piensa cuál tienes vacía y por qué has decidido que esa puerta puede quedarse abierta.

Si quieres ver el capítulo completo del Samurai Moderno donde estuvimos tratando este tema puede verlos aquí.

Fuentes

• Incidente de drones en Gatwick, diciembre de 2018 (Wikipedia)
• Ataque ruso de 656 drones y 73 misiles sobre Ucrania, 3 de junio de 2026 (CBS News)
• Drones sobre la central nuclear belga de Doel, noviembre de 2025 (Dronelife)
• Instalaciones nucleares europeas en alerta drone, 2026 (The National News)
• Operación contra red de narcotráfico con drones de ala fija en el Estrecho (Ministerio del Interior)
• Radar IRIS de Robin Radar Systems integrado en Squadrone.es (Infodefensa)
• Plan de Acción contra Amenazas de Drones, Comisión Europea, 11 de febrero de 2026
• Programa interceptor C-UAS del Ministerio de Defensa de España (Infodefensa)
• Operativo C-UAS en la visita del papa León XIV y sistema SIGLO-CD, junio de 2026 (The Objective)