La dependencia de los centros de datos es ahora tan profunda como la dependencia de la red eléctrica. Banca, logística, comunicaciones, servicios de salud, administración pública y defensa nacional operan sobre la misma capa física de computación que aloja las apps de entretenimiento y los modelos de IA. Cuando esa capa falla, no se cae Netflix. Se cae todo.
El debate sobre si los centros de datos deben considerarse infraestructura crítica ha dejado de ser académico. En Estados Unidos, expertos en seguridad y responsables políticos llevan meses presionando para una clasificación formal que imponga estándares de protección equivalentes a los de la red eléctrica o el sistema financiero. En Europa, la directiva NIS2 y el AI Act han sentado bases regulatorias, pero la aplicación concreta sobre los centros de datos físicos sigue siendo desigual y reactiva.
Qué significa que algo sea infraestructura crítica y por qué importa la clasificación
En la jerga regulatoria, la infraestructura crítica es aquella cuya interrupción o destrucción tendría efectos graves sobre la seguridad nacional, la economía, la salud pública o la seguridad ciudadana. La clasificación formal tiene consecuencias prácticas: estándares mínimos de seguridad física y lógica obligatorios, requisitos de redundancia, planes de continuidad operativa, comunicación obligatoria de incidentes a las autoridades y acceso a programas de apoyo estatal en caso de ataque o desastre.
Los aeropuertos, las centrales nucleares y los gasoductos tienen esa clasificación hace décadas. Las plantas de tratamiento de agua también. Los centros de datos que albergan los sistemas financieros del país, el historial médico de millones de personas o los sistemas de control de tráfico aéreo... depende del país y del centro concreto. En muchos casos, no.
La brecha entre la dependencia real y la protección formal es el problema central. Una empresa que opera el centro de datos donde viven los sistemas de pagos de varias entidades bancarias no tiene hoy los mismos requisitos de seguridad que el propio banco al que da servicio. Eso es una anomalía que los reguladores reconocen pero que los procesos legislativos tardan en corregir.
La huella energética como nuevo argumento político
El debate sobre los centros de datos en Europa tiene una dimensión añadida que en Estados Unidos es menos urgente: el consumo eléctrico. La IA ha multiplicado la demanda energética de los centros de datos en los últimos tres años, y esa demanda compite directamente con los objetivos de transición energética de la UE. En países como Irlanda o los Países Bajos, los reguladores ya han impuesto moratorias o restricciones de permisos para nuevos centros de datos en ciertas zonas debido a la presión sobre la red.
Esta tensión está empujando a los países a ser más selectivos sobre qué centros de datos se construyen, dónde y para quién. Y esa selectividad implica implícitamente una jerarquía: hay centros de datos más críticos que otros, y la política energética está forzando esa conversación aunque la política de seguridad no la haya resuelto formalmente. Como describimos en el análisis de la guerra de los chips y la soberanía tecnológica europea, el control de la infraestructura física de computación se ha convertido en una cuestión geopolítica de primer orden.
El caso específico de España
España tiene una posición peculiar en este debate. Madrid y Barcelona se han convertido en dos de los centros de datos más importantes del sur de Europa, con inversiones recientes de Microsoft Azure, Google Cloud y Amazon Web Services que han multiplicado la capacidad instalada. El país tiene ventajas estructurales reales: clima estable, acceso a energía renovable, conectividad submarina con América Latina y África, y una posición geográfica que lo hace atractivo como hub regional.
El problema es que esa inversión masiva de Big Tech no viene acompañada de marcos de gobernanza robustos sobre qué datos pueden alojarse ahí, bajo qué condiciones y con qué garantías de continuidad. La soberanía digital española sobre su propia infraestructura de computación es, en muchos aspectos, nominal. Los centros de datos son físicamente españoles, pero los datos, las condiciones de servicio y los protocolos de respuesta a incidentes responden a las políticas de corporaciones estadounidenses.
NIS2, transpuesta al ordenamiento jurídico español, impone requisitos de seguridad a los operadores de servicios esenciales que incluyen a los proveedores de infraestructura digital. La aplicación efectiva de esos requisitos a los grandes proveedores de nube es el siguiente campo de batalla regulatorio. Las multas que RGPD ha impuesto en los últimos años a Meta o Google en Europa demuestran que la voluntad regulatoria existe. Convertirla en estándares técnicos concretos aplicados a la infraestructura física es el paso que falta.
Por qué la clasificación formal cambia el incentivo
La resistencia de la industria a la clasificación como infraestructura crítica tiene una razón simple: más requisitos regulatorios significan más coste operativo. Los estándares de seguridad física que aplican a una central eléctrica o a un edificio gubernamental son significativamente más costosos de mantener que los estándares habituales de un data center comercial.
Ese coste adicional puede justificarse cuando el activo protegido lo requiere. Y en 2026, los activos alojados en centros de datos incluyen el historial clínico de la práctica totalidad de la población, los datos financieros de personas y empresas, y sistemas de los que dependen servicios públicos esenciales. El argumento de que eso no merece protección equivalente a la de una subestación eléctrica es difícil de sostener.
El apagón peninsular de abril de 2025 demostró con brutalidad lo que significa que la infraestructura física falle en cascada. Los centros de datos son el siguiente nivel de esa dependencia, y la pregunta no es si habrá un incidente grave que los afecte de forma significativa. Es cuándo, y si cuando ocurra habremos construido ya los mecanismos de respuesta o seguiremos improvisando.
0 Comentarios