Defensa antidrones KRITIS: deberes y tecnología 2026

La defensa antidrones KRITIS deja de ser opcional en 2026. El legislador introduce la obligación de detectar amenazas aéreas, la situación de riesgo ha cambiado, y la línea de valla clásica no defiende nada que ocurra por encima de 30 metros de altura. Este texto ordena derecho, técnica y costes de modo que un director de planta pueda llevar al consejo de administración a la decisión en una sola sesión.

Defensa antidrones KRITIS: escalada del riesgo en 2026

Desde 2023, el BBK y la Bundespolizei documentan incidentes recurrentes con drones en refinerías, subestaciones y centros de datos en Alemania, Austria y Suiza. [Insertar fuente] Los casos van desde vuelos de reconocimiento hasta daños materiales por lanzamiento de carga. Ninguno de estos incidentes fue detectado por el propio operador afectado. El aviso vino, por regla general, de testigos, no del servicio de vigilancia.

El umbral técnico para los atacantes ha caído. Un dron de consumo con 5 a 7 km de alcance, cámara térmica y óptica 4K cuesta menos de 2.000 euros en el comercio. [Insertar fuente] Los drones FPV con 120 km/h y un kilo de carga útil rondan los 400 euros. [Insertar fuente] Quien cierra un parque industrial debe partir de que el adversario está equipado al mismo nivel. Hay ataques en enjambre con cinco a veinte drones documentados [Insertar fuente], y los intrusos FPV pasan cualquier línea clásica de valla y cámara en menos de quince segundos.

El daño más frecuente no es sabotaje, es espionaje. Lectura de cadenas de suministro a través de cisternas visibles, registro de movimientos de personal en cambios de turno, identificación de huecos de seguridad en cubierta. Son objetivos de reconocimiento que antes exigían penetración física. Hoy basta un vuelo.

El borrador del KRITIS-Dachgesetz obliga a los operadores a tomar medidas de protección frente a amenazas aéreas (Bundestag-Drucksache 20/9262). Esa es la base jurídica sobre la que los auditores verificarán desde 2026. Lectura complementaria: requisitos del KRITIS-Dachgesetz.

Marco jurídico: lo que el operador puede hacer y lo que no

El error legal más frecuente en la conversación con la dirección de planta es confundir detección y neutralización. La detección está permitida. La sensórica pasiva (RF, radar, acústica, óptica, LiDAR) no requiere autorización especial, siempre que no se interfieran bandas de frecuencia y los registros cumplan el RGPD.

La neutralización activa está reservada al Estado. Inhibición, toma de control y derribo están asignados en Alemania a Policía y Bundeswehr, regulados a través del § 27 LuftSiG y la TKG (BMI). Un servicio de vigilancia que opere un inhibidor comete una infracción administrativa o un delito, según el tipo de intervención sobre el espectro. El operador debe disponer de detección más cadena de alarma, no de neutralización propia.

El borrador del KRITIS-Dachgesetz (Drucksache 20/9262) introduce una obligación de prueba sobre detección aérea. NIS-2 lo completa con vías de notificación en incidentes de seguridad con impacto en servicios esenciales (EUR-Lex 2022/2555). Si un dron sobrevuela un centro de datos y el impacto en TI es plausible, el incidente es de notificación obligatoria. Detalle de la cadena de notificación: cumplimiento NIS-2.

La clasificación sectorial y los umbrales los regula la BSI-KritisV. Quien figura ahí no puede prescindir de una detección de drones documentada.

Capas de detección: modelo de cuatro sensores

Una detección de drones KRITIS sólida trabaja con cuatro tipos de sensor en fusión. Una sola capa falla con regularidad.

Detección RF. Capta frecuencias de control en las bandas 2,4 GHz y 5,8 GHz. En la mayoría de drones de consumo identifica fabricante, modelo y número de serie a partir del datalink. Alcance hasta 5 km. Debilidad: los drones autónomos sin enlace de radio son invisibles.

Radar con micro-Doppler. Detecta la rotación de rotores también en drones FPV sin emisión RF. Alcance desde 800 m, según tamaño del dron. Debilidad: las bandadas de aves generan falsas alarmas si el filtrado no está calibrado.

Sensórica acústica. Firma de rotor como capa de confirmación. Robusta frente a limitaciones de visibilidad por niebla, lluvia o camuflaje. Alcance efectivo de 300 a 500 m, según ruido ambiental. En entornos industriales es la capa individual más débil, pero como confirmación es valiosa.

LiDAR y verificación óptica. Confirmación de posición en tres dimensiones, detección de carga útil en el fuselaje, registro forense para la persecución penal. El LiDAR ve también de noche y a contraluz, la óptica clásica aporta la imagen aprovechable ante un tribunal.

La fusión a través de una capa de sensor fusion reduce los falsos positivos por debajo del dos por ciento. [Insertar fuente] Una solución sólo RF se sitúa típicamente entre el doce y el dieciocho por ciento de falsas alarmas [Insertar fuente], lo que en auditoría se valora como insuficiente, porque entonces la cadena de alarma no se activa.

QR-3: detección móvil de drones en el perímetro

Los mástiles de detección estáticos tienen una cobertura fija. Una plataforma móvil desplaza la zona de detección por la ruta de patrulla y cierra sectores ciegos. El QR-3 con LiDAR y detección de drones está diseñado para este uso.

El cabezal LiDAR reconoce objetos hasta 120 m de altura con cobertura de 360 grados en el radio de patrulla. [Insertar fuente / hoja de datos] La verificación térmica distingue dron de ave a partir del calor del motor y el patrón de vuelo, un ave no tiene una fuente de calor puntual en el centro del fuselaje. Las rutas de patrulla amplían la zona de detección frente a mástiles estáticos por un factor de cuatro a seis [Insertar fuente]. El cabezal de sensor se desplaza por los ejes principales de la planta en lugar de estar fijado a un punto.

La integración directa con la imagen operativa del centro de control de planta se hace por REST-API y MQTT. Los eventos de detección llegan al SIEM con marca de tiempo, posición GPS y firma de sensor. El escalado automático a Policía y al punto de notificación del BBK transcurre dentro del plazo legal. El servicio de vigilancia debe confirmar la verificación antes de que se dispare la notificación a las autoridades.

Precio de alquiler 3.800 euros al mes en el modelo Robotics-as-a-Service, entrega en 48 horas, equipo de sustitución y calibración incluidos.

Integración en el concepto de seguridad existente

La defensa antidrones forma parte del concepto de protección según § 8a de la BSI-Gesetz y el KRITIS-Dachgesetz. No es una disciplina aislada. El auditor evalúa el concepto en conjunto, no los sensores por separado.

El nivel de sensor debe correlacionarse con SIEM, centro de control y vigilancia física. Una solución aislada cae en auditoría, porque el tiempo de reacción no es demostrable. Si el detector RF avisa de un dron pero la imagen operativa del centro de control no muestra entrada, la cadena está rota.

La cadena de alarma está estandarizada: detección, verificación, vigilancia, Policía, notificación a autoridades. Documentada en menos de 90 segundos, desde el primer evento de sensor hasta la notificación emitida. [Insertar fuente] Ese es el indicador que se verifica en auditoría.

Ciclo de ejercicios dos veces al año, incluido tabletop con la Landeskriminalamt competente. Un ejercicio al año es el mínimo, dos son estándar para operadores KRITIS en los umbrales superiores. Obligación de conservación de 90 días, enmascaramiento conforme al RGPD fuera del recinto (vías públicas y fincas colindantes). Más sobre integración perimetral: protección perimetral en parque industrial.

TCO: defensa antidrones en RaaS frente a CapEx

El cálculo de costes decide la compra. Tres escenarios son realistas.

Instalación C-UAS estacionaria. 180.000 a 450.000 euros de CapEx, según número de sensores y estructura de mástiles. [Insertar fuente] Más 15 por ciento de mantenimiento anual, más calibración, más sustitución de sensores tras 24 a 36 meses. Amortización a cinco años. A mitad de su vida útil contable, el sistema está técnicamente obsoleto.

QR-3 en RaaS. 3.800 euros al mes, todas las actualizaciones, equipo de sustitución en caso de avería, calibración de sensores y actualizaciones de software incluidas. Sin amortización, íntegramente OpEx, rescindible con plazo corto al final del contrato.

Puesto de vigilancia estático 24/7. 15.000 a 25.000 euros al mes por puesto, según convenio colectivo y región. [Insertar fuente] Sin detección de drones, es decir, no sustituye, complementa. Detalle: comparativa TCO de costes de vigilancia.

Un modelo híbrido de un QR-3 y dos QR-2 cubre 80 hectáreas de perímetro industrial por menos de 12.000 euros al mes [Insertar fuente / hoja de datos]. Incluye detección de drones, reconocimiento de personas y función de patrulla. Eso es la mitad de un único puesto de vigilancia 24/7. El riesgo de amortización desaparece por completo. En una tecnología con ciclo generacional de 18 a 24 meses, esa es la ventaja decisiva.

Implantación: hoja de ruta a 90 días para operadores

Una introducción realista transcurre en tres fases.

Días 1 a 14: análisis de amenazas. Identificación de puntos críticos. Subestación, parque de tanques, pared exterior de la sala de servidores, sistemas de refrigeración, suministro de emergencia. Cartografía de los corredores de aproximación desde las direcciones principales de viento y a lo largo de ejes de visión desde superficies públicas colindantes.

Días 15 a 30: instalación piloto. Un QR-3 a lo largo de la ruta de patrulla más expuesta. Registro de la línea base (densidad de aves, tasa de falsos positivos, fondo RF) para la calibración. Formación del primer turno de vigilancia en interpretación de sensores.

Días 31 a 60: integración. Conexión a centro de control y SIEM. Prueba de la cadena de alarma con Policía, ejecución de dos ejercicios documentados, ajuste fino de los protocolos de escalado. En esta fase salen a la luz la mayoría de los puntos débiles. Suelen estar en la interfaz entre vigilancia y SIEM.

Días 61 a 90: despliegue. Perímetro completo, elaboración de la documentación de auditoría para la notificación BBK, fijación del plan de ejercicios para los siguientes 24 meses. En paralelo, formación de toda la plantilla de vigilancia en interpretación de sensores y protocolo de escalado.

La hoja de ruta presupone que el resto del cumplimiento KRITIS está en pie. Quien tenga lagunas ahí, debe trabajar la checklist de 12 deberes KRITIS 2026 en paralelo.

Cinco errores de auditoría y sus causas

Cinco errores aparecen en casi cada auditoría.

Error 1: confiar en un único tipo de sensor. RF-only falla con drones autónomos sin enlace de radio. Un dron FPV con ruta preprogramada es invisible para una sensórica puramente RF. La fusión de cuatro sensores no es opcional.

Error 2: compra en lugar de alquiler. Las generaciones de sensor envejecen en 18 a 24 meses. [Insertar fuente] Una instalación CapEx con cinco años de amortización está, tras tres años, por detrás del atacante. RaaS traslada el riesgo generacional al proveedor.

Error 3: detección sin cadena de alarma. La auditoría verifica tiempo de reacción, no catálogo de sensores. Quien opera un radar perfecto pero no tiene escalado documentado a la Policía, no aprueba.

Error 4: contramedidas activas sin base jurídica. Los inhibidores se venden en ferias de seguridad, pero en Alemania son ilícitos para operadores privados. Su uso es punible según LuftSiG y TKG. Counter-UAS Alemania significa para operadores privados: detectar, notificar, documentar.

Error 5: defensa antidrones aislada del resto de la protección perimetral. Los auditores valoran el concepto completo. Una unidad antidrones separada, sin conexión a vigilancia, SIEM y centro de control, no cumple el requisito.

Siguiente paso

La obligación jurídica está fijada, la técnica disponible, los costes son calculables en el modelo RaaS. Quien entre en una auditoría KRITIS en 2026 necesita una detección de drones documentada con cadena de alarma. El punto de entrada es una instalación piloto a lo largo de la ruta más expuesta. Requisitos y especificación: QR-3 detección de drones, visión técnica.