Descargo de responsabilidad: Todo lo aquí descrito es pura imaginación y cualquier parecido con la realidad es mera coincidencia. Este documento está destinado a profesionales de la seguridad para desarrollar contramedidas defensivas. El autor no se hace responsable de las consecuencias de cualquier acción tomada a partir de la información proporcionada en este artículo. Mantengo cada escenario a nivel de vector de amenaza: sin detalle operativo, sin tácticas, sin información sobre armas, y cada uno va acompañado de una recomendación defensiva.
Nota: Como en el resto de la serie SRF-IWS, me he apoyado en varios modelos de IA para construir escenarios de ataque realistas y orientados a la defensa. El objetivo es la planificación del Blue Team, nada más.
Una nota sobre la serie. Este artículo pertenece a SRF-IWS, pero no es una continuación de los artículos de Davos. Aquellos (Davos 2024, 2025 y 2026) son su propia línea de análisis sobre el Foro Económico Mundial; este se sostiene por sí mismo y simplemente comparte el mismo marco de trabajo. Sí los referencio a lo largo del texto para dar contexto, así que merece la pena leerlos como base. La diferencia esta vez es el protegido: en lugar de un foro corporativo, hablamos de un jefe de la fe y jefe del Estado vaticano, al aire libre, en mitad de una capital europea y rodeado de más de un millón de personas.
Introducción
Del 6 al 9 de junio de 2026, el Papa León XIV, el primer pontífice norteamericano, estará en Madrid como primera etapa de su viaje apostólico a España (Madrid, Barcelona y Canarias, del 6 al 12 de junio). Es la primera visita papal a la capital en quince años, desde Benedicto XVI y la Jornada Mundial de la Juventud de 2011. El programa de Madrid es denso y, desde el punto de vista de la inteligencia de protección, está completamente expuesto:
- Llegada el 6 de junio, con visita de cortesía al Rey Felipe VI, la Reina Letizia y la Familia Real.
- Una vigilia de oración con jóvenes en la Plaza de Lima, en el Paseo de la Castellana, esa misma tarde.
- El domingo 7 de junio, solemnidad del Corpus Christi, una misa al aire libre en la Plaza de Cibeles seguida de una procesión eucarística por el centro de Madrid.
- El lunes 8 de junio, un discurso ante el Parlamento en el Congreso de los Diputados y, más tarde, un encuentro con la comunidad diocesana en el Santiago Bernabéu.
- Movimientos del papamóvil y la comitiva concentrados en el eje Castellana–Cibeles–Lima y en los nodos fijos: Barajas, el Palacio Real, el Congreso y el Bernabéu.
El discurso en el Parlamento merece su propia línea, porque es realmente histórico. Por primera vez, un Papa hablará ante una sesión conjunta de las Cortes Generales, diputados y senadores juntos. Juan Pablo II visitó España cinco veces y Benedicto XVI tres, y ninguno se dirigió nunca a la cámara. Es justo el tipo de momento de alta carga simbólica y alto protocolo que un adversario adora.
Las autoridades estatales y municipales han montado un dispositivo de seguridad y movilidad sin precedentes en la ciudad, con una asistencia prevista de hasta 1,8 millones de personas en los actos principales. El lema elegido, «Alzad la mirada» (Juan 4:35), y el énfasis de León XIV en la migración, el viaje termina en Canarias, la principal puerta atlántica de entrada de migrantes a España, convierten esto en algo más que un problema de seguridad física. Es un objetivo casi perfecto para la guerra de la información: televisado a nivel mundial, construido sobre un asunto polarizante y con un protegido cuya cada frase tiene peso geopolítico.
Un Papa no es un delegado de Davos, y el abanico de amenazas es mucho más amplio. Tienes extremistas de motivación religiosa, tanto yihadistas como anticatólicos; sectores tradicionalistas y sedevacantistas; corrientes anticlericales y anarquistas; extremistas antiinmigración reaccionando al mensaje del Papa; actores solitarios movidos por agravios; y operaciones de información de Estados-nación buscando instrumentalizar el espectáculo. Nada de esto es hipotético. Los pontífices han sido siempre objetivos. A Juan Pablo II le dispararon en la Plaza de San Pedro en 1981. Lo volvieron a atacar en 1982 en Fátima, con una bayoneta, a manos de un sacerdote español, Juan María Fernández y Krohn. El complot Bojinka de 1995 en Manila incluía un plan para asesinarlo. Son hechos documentados, y razón suficiente para planificar en serio.
Lo que sigue son escenarios realistas y orientados a la defensa en los dominios de la información, ciber, RF, drones, multitudes y físico. Cada uno empareja el ataque con su propia defensa, en la misma sección.
1. Desinformación y la narrativa migratoria
El vector más probable y más dañino aquí no es una bomba ni un rifle. Es la información. La visita de León XIV gira en torno a la migración y aterriza en mitad de un debate migratorio español muy vivo, que es justo el terreno sobre el que les gusta trabajar a las operaciones de influencia, vengan de un actor estatal que quiere avivar las fracturas españolas y de la UE o de extremistas domésticos de uno u otro extremo.
La campaña que yo esperaría sería algo así. «Citas» papales fabricadas, texto, imágenes y clips cortos generados por IA que ponen en boca del Papa posiciones incendiarias sobre la inmigración, el Gobierno, Cataluña o la monarquía, soltadas unas horas antes de un acto clave para dominar el ciclo informativo. Fragmentos de homilía manipulados, audio o vídeo de la misa de Cibeles o del discurso en el Congreso, recortados selectivamente o falsificados por completo para fabricar indignación en cualquier dirección y atraer gente a las inmediaciones de los actos a enfrentarse. «Filtraciones» falsas, documentos forjados del Vaticano o de Moncloa que aleguen pactos políticos secretos ligados a la visita, diseñados para que tanto la Iglesia como el Estado parezcan estar ocultando algo. Indignación inflada por redes inauténticas que empujan hashtags divisivos, testimonios falsos de testigos y reportes falsos de incidentes para asustar a la gente o provocar un enfrentamiento. Y el más simple, cuentas suplantadas y dominios calcados que imitan las webs oficiales de inscripción e información para repartir horarios falsos, «cancelaciones» falsas o enlaces maliciosos.
Figura 1 — Árbol de ataque de la desinformación y la narrativa migratoria, generado con USecVisLib.
Defensa
Esto hay que tratarlo como una función de seguridad de primer orden, no como una ocurrencia de prensa. Eso significa una célula de comunicación conjunta Vaticano–España con autoridad para desmentir rápido, audio y vídeo oficiales firmados en origen (procedencia tipo C2PA), una cadena activa para vigilar y dar de baja dominios calcados, y un único canal verificado en el que el público sepa que puede confiar. Si hay una sola fuente autorizada, la mayoría de las falsificaciones se quedan sin oxígeno.
2. Deepfakes y medios sintéticos
Esto lo traté a fondo en el análisis de Davos 2026, y no se ha vuelto más fácil de defender. Los deepfakes en tiempo real son maduros, la clonación de voz necesita solo unos segundos de audio, y la gente solo detecta un buen deepfake de vídeo una fracción de las veces. Un Papa retransmitido a nivel mundial, con un enorme archivo público de audio y vídeo, es prácticamente el mejor sujeto de entrenamiento que existe. También lo es el Rey, y también los organizadores principales.
Los escenarios que me preocupan son los que suplantan a la autoridad. Un anuncio «oficial» falso de evacuación, o un aviso de «artefacto encontrado», metido en un sistema de megafonía comprometido, una señalética digital secuestrada o un canal de alertas suplantado en Cibeles, Lima o el Bernabéu, con el fin de provocar el pánico (ver sección 3). Tráfico de radio con voz clonada haciéndose pasar por un mando de incidente o por un equipo de avanzada del Vaticano para redirigir unidades, alterar los tiempos de la comitiva o abrir un hueco. Grabaciones «privadas» sintéticas del Papa y el Rey, o del Papa y cargos del Gobierno, inventando compromisos o insultos que nunca se dijeron, lanzadas para envenenar la diplomacia de la visita. O imágenes fabricadas «entre bastidores» calculadas para tapar el discurso en el Parlamento.
Figura 2 — Árbol de ataque de deepfakes y medios sintéticos (USecVisLib).
Defensa
La respuesta defensiva es clásica y funciona: verificación fuera de banda y desafío/respuesta para toda comunicación de mando, de avanzada y de protocolo. Ninguna unidad actúa solo por una voz o una cara. Encima de eso, detección de deepfakes en las señales de retransmisión monitorizadas, blindar megafonía, señalética y alertas como infraestructura crítica con autenticación real, y dejar guionizado de antemano el mensaje a la multitud, de forma que lo que el público oiga llegue solo por canales verificados y redundantes.
3. La multitud como arma
Con hasta 1,8 millones de personas repartidas por Cibeles, Lima, el recorrido de la procesión y el Bernabéu, el desenlace con más probabilidad de causar víctimas en masa no necesita arma alguna. Solo hay que provocar el pánico en una multitud densa. Es el vector más infravalorado de la lista, y no es teórico, la historia es larga y siniestra: Hillsborough, el Love Parade de 2010, la avalancha de Mina de 2015 durante el Hajj, Itaewon en 2022, Astroworld en 2021.
¿Cómo lo harías? Lanzas una falsa alarma sincronizada, un rumor de disparos, una «bomba», un incendio, propagado por SMS y redes sociales, un único estruendo provocado o una señalética secuestrada, y lo colocas en un cuello de botella donde la densidad ya es crítica: los accesos estrechos a Cibeles o Lima, una grada del estadio. Lo emparejas con denegación de comunicaciones, interferir o saturar la red móvil y el wifi para que la multitud no pueda orientarse y el mensaje oficial no llegue, y dejas que el rumor llene el vacío (esto enlaza con la sección 7). Le añades manipulación del flujo, bloqueas o señalizas en falso las salidas, y una densidad controlable se convierte en un colapso progresivo. Y si quieres desbordar la respuesta, inicias en varios puntos separados a la vez para que el acomodo y los servicios de emergencia se fragmenten.
Figura 3 — Árbol de ataque de pánico provocado y avalancha de multitud (USecVisLib).
Defensa
Defenderlo se reduce a ver la densidad en tiempo real y poder actuar sobre ella. Monitorización óptica y térmica aérea más analítica anonimizada de densidad de móviles, con umbrales rígidos y dosificación y control de flujo reversibles planificados de antemano. Una megafonía que resista las interferencias. Acomodadores entrenados para matar rumores en el sitio. Salidas diseñadas, bien señalizadas y sobredimensionadas. Y una única imagen de mando de incidente unificada, para que un pequeño evento local nunca tenga la ocasión de propagarse.
4. Drones y contra-UAS
Espacios abiertos como Cibeles, Lima, el recorrido de la procesión y el cuenco abierto del Bernabéu son justo los lugares que explotan los drones pequeños. El problema de coste que describí en el análisis de Davos 2026 sigue vigente: los drones son baratos, las defensas son caras, y un enjambre puede simplemente saturar las defensas puntuales.
Los usos son conocidos. Vigilancia y adquisición de objetivos, pequeños cuadricópteros mapeando posiciones de seguridad, tiempos de la comitiva y ubicaciones VIP en tiempo real. Entrega de carga de pánico, un dron dispersando humo, un irritante o pirotecnia sobre una multitud densa, donde el objetivo es el pánico y la avalancha más que las víctimas directas. Saturación con enjambres y señuelos, drones desechables absorbiendo el esfuerzo contra-UAS mientras una plataforma principal termina su trabajo, o drones FPV usando los cañones urbanos para una aproximación baja y rápida. Y cargas RF, interferidores o IMSI-catchers aéreos degradando las comunicaciones y recopilando inteligencia sobre la multitud.
Figura 4 — Árbol de ataque de drones y contra-UAS (USecVisLib).
Defensa
La defensa tiene que ser por capas y multimodal, radar más RF más acústica más electroóptica/infrarroja, para que ningún truco aislado la deje ciega. Hacer cumplir las zonas de exclusión aérea y las restricciones temporales de vuelo con la autoridad legal para realmente actuar ante una violación. Pre-posicionar efectores en las líneas de aproximación probables. Y, esto importa más aquí que en Davos, elegir una mitigación que no haga daño ni provoque el pánico de una multitud de 1,8 millones de personas. La detección, la toma de control por RF y el geovallado, y la interceptación controlada van mucho antes que cualquier opción cinética sobre las cabezas de la gente.
5. La comitiva y el papamóvil
Los movimientos se concentran en un eje predecible, Castellana–Cibeles–Lima, y en nodos fijos de llegada y salida: Barajas, el Palacio Real, el Congreso, el Bernabéu. La previsibilidad más un papamóvil lento, abierto, a pie de valla, es el dilema clásico de la protección, y no hay manera ingeniosa de esquivarlo.
Las vías de explotación se entienden bien. Operaciones en el punto de estrangulamiento, la vigilancia escoge un punto lento fijo para un acto hostil, un disturbio provocado o una denegación de comunicaciones. Spoofing o interferencia del GPS de los vehículos de escolta para fragmentar la comitiva o desviar las unidades de apoyo y médicas; la captura por Irán de un dron estadounidense RQ-170 es el precedente de manual para el spoofing de GNSS incluso en una plataforma avanzada. Vehículo como arma, la amenaza europea más ensayada desde Niza y Berlín en 2016, un vehículo hostil lanzado contra un tramo del recorrido denso de peatones. Y el viejo reconocimiento hostil de puestos estáticos y horarios de antemano.
Figura 5 — Árbol de ataque de la comitiva y el papamóvil (USecVisLib).
Defensa
Defender el desplazamiento significa aleatorizar ruta y horario allá donde el programa lo permita, poner mitigación de vehículos hostiles, barreras, zonas estériles, cruces controlados, a lo largo de todo el eje de cara a la multitud, y dotar a los vehículos de escolta de GNSS multiconstelación anti-spoofing con respaldo inercial. Añade contravigilancia agresiva, domina las azoteas y posiciones elevadas con observación amiga y cobertura contra-francotirador, y configura el papamóvil equilibrando la visibilidad pastoral con la protección. Siempre será un compromiso; que al menos sea uno deliberado.
6. Ciberataques al evento y a la ciudad
La visita funciona sobre mucho software. Un sistema masivo de inscripción pública que guarda los datos personales de potencialmente millones, acreditación y credenciales, ticketing, CCTV y control de accesos, la gestión de tráfico y movilidad de Madrid, los despachos de emergencia. Como demostró el caso GTG-1002 del análisis de Davos 2026, los agentes de IA pueden mapear y explotar un ecosistema así a velocidad de máquina, encontrando caminos que un humano pasaría por alto.
Los movimientos evidentes: vulnerar el sistema de inscripción e instrumentalizar los datos, exfiltrar los registros de asistentes para adquisición de objetivos, doxing o spear-phishing, o corromper las listas de acceso para crear caos en las puertas. Forjar credenciales comprometiendo la cadena de acreditación y fabricar acceso de insider en un rol de prensa, voluntariado o contratista. Cegar la vigilancia, manipular CCTV y control de accesos para abrir puntos ciegos programados. Golpear los sistemas de la ciudad, gestión de tráfico y señalética durante las ventanas de la comitiva, o el despacho de emergencias durante un incidente, que es como un evento ciber se convierte en un evento de seguridad física. Y el más simple, DDoS o defacement de los canales oficiales de información en el momento en que la atención del público alcanza su pico, lo que devuelve directamente a la sección 1.
Figura 6 — Árbol de ataque de los ciberataques al evento y a los sistemas de la ciudad (USecVisLib).
Defensa
La defensa es poco vistosa y necesaria: hacer red team a cada sistema del evento y de la ciudad dentro del alcance antes de la visita, segmentar los sistemas de seguridad para la vida y de control de accesos para que no sean alcanzables desde todo lo demás, aplicar Privilegio Cero Permanente (ZSP) y Acceso Justo a Tiempo (JITA) para que una credencial robada compre muy poco, poner monitorización de integridad sobre las listas de acreditación y acceso, y asegurarse de que cada función crítica para la vida tenga un respaldo manual probado para el día en que el software mienta.
7. RF y el espectro
Este es mi terreno y es de gran impacto. En España, las fuerzas y cuerpos de seguridad del Estado, Policía Nacional y Guardia Civil, funcionan sobre SIRDEE, la red troncalizada cifrada y de cobertura nacional basada en TETRAPOL. (Un detalle que conviene precisar: SIRDEE es TETRAPOL, no TETRA. TETRA es un estándar distinto que usan varios servicios autonómicos y municipales. La gente confunde los dos constantemente.) Sea cual sea la tecnología, todo el evento depende de un espectro resiliente.
Los ataques. Interferir SIRDEE, las radios de coordinación del evento y las bandas móviles en un momento crítico, lo que degrada el mando, amplifica la confusión de la multitud (sección 3) y aísla los puestos. Hacer spoofing del GPS/GNSS para corromper la sincronización, el geovallado, el seguimiento contra-UAS y la navegación de la comitiva (sección 5). Desplegar IMSI-catchers o células piratas para rastrear e interceptar a VIPs y a la multitud. Levantar puntos de acceso piratas cerca de los recintos y las áreas de mando para capturar tráfico y pivotar, incluida la recolección «recoge ahora, descifra después» que describí en el análisis de Davos 2026.
Figura 7 — Árbol de ataque de RF y guerra inalámbrica (USecVisLib).
Defensa
Defender el espectro significa vigilarlo. Monitorización continua y radiogoniometría por toda el área de operaciones para cazar interferidores, spoofers e IMSI-catchers según aparezcan. Comunicaciones primarias cifradas, con salto de frecuencia y resistentes a interferencias, con un respaldo no-RF, enlaces a pie y nodos cableados, para cuando la banda se apague. Monitorización de integridad de GNSS con posicionamiento de respaldo. E higiene de RF básica, nada sensible por un canal que pueda estar comprometido.
8. Insiders y cadena de suministro
Una visita así moviliza una fuerza de trabajo enorme y montada a toda prisa. Solo el coro oficial, el Gran Coro de Voces Católicas, tiene más de 1.700 voluntarios, y eso antes de contar acomodadores, contratistas, catering, audiovisuales, transporte y proveedores de seguridad por todos los recintos. El problema del eslabón más débil crece con esa huella.
Lo que yo vigilaría: un voluntario o contratista infiltrado allá donde el alta masiva adelanta a la verificación. Un compromiso previo del equipo audiovisual y técnico en la cámara del Congreso, el Palacio Real o el Bernabéu, un dispositivo de escucha o grabación implantado, o un sistema de producción manipulado que alimente las jugadas de desinformación y deepfakes de las secciones 1 y 2. Acceso por logística, proveedores de catering, limpieza y equipamiento como vía hacia las áreas estériles. Y los proveedores de transporte, donde las credenciales de conductor y los datos de seguimiento de vehículos revelan en silencio los movimientos protegidos.
Figura 8 — Árbol de ataque de insiders y cadena de suministro (USecVisLib).
Defensa
Las contramedidas son proporcionalidad y disciplina. Verificar al nivel del acceso, con el escrutinio más profundo para los roles técnicos, audiovisuales, de transporte y de área estéril. Acceso físico de mínimo privilegio con escolta auditada. Barridos TSCM de cada recinto donde se hable antes de su uso, y mantener la zona estéril después. Y poner requisitos reales de seguridad a los proveedores, con monitorización continua y un respaldo para todo lo esencial.
9. Físico y NRBQ, a nivel de doctrina de protección
Lo mantendré al nivel contra el que de verdad planifica un equipo de protección, y lo anclaré otra vez en el historial: 1981 en la Plaza de San Pedro, 1982 en Fátima, el complot Bojinka de 1995.
Los vectores con los que hay que contar son la aproximación cercana de un actor solitario en una valla, la procesión o el recorrido del papamóvil, una amenaza con arma blanca u objeto arrojado desde dentro de una multitud autorizada; una posición de tiro elevada a lo largo del eje de la Castellana o alrededor de las plazas abiertas, que es para lo que existen la gestión de líneas de visión y la cobertura contra-francotirador; una dispersión química o irritante de bajo grado en la multitud cuyo efecto real es el pánico y la avalancha (secciones 3 y 4) más que la toxicidad masiva; y un explosivo improvisado o transportado en vehículo en el perímetro de un recinto o a lo largo del recorrido.
Figura 9 — Árbol de ataque físico y NRBQ en multitud (USecVisLib).
Defensa
Contra todo eso: zonas estériles con cacheo y arcos de detección en accesos controlados, dominio contra-francotirador y de posiciones elevadas con las estructuras inspeccionadas de antemano, mitigación de vehículos hostiles en cada ruta de cara a la multitud, detección y descontaminación NRBQ preparadas para una contingencia de víctimas en masa, una presencia saturadora de uniformados y de paisano en las vallas, y capacidad médica redundante pre-posicionada y ajustada al mapa de densidad.
10. El escenario de convergencia
Si hay una tesis en toda esta serie, es que la amenaza que define la época no es ningún vector aislado. Es la secuenciación deliberada de varios de ellos, y rápido. Aplicado a esta visita, se lee así. En los días previos, una campaña de desinformación (sección 1) polariza al público y siembra contramovilización cerca de los recintos. En el momento elegido, acciones coordinadas de ciber (sección 6) y RF (sección 7) degradan el CCTV, las comunicaciones y la conciencia situacional. Una carga lanzada por dron o un reporte provocado (secciones 3 y 4) inicia el pánico en un cuello de botella crítico. Una orden «oficial» de evacuación deepfake (sección 2), empujada por señalética o megafonía comprometidas, convierte ese pánico en una avalancha. Y en el caos, se persigue un objetivo principal mientras una narrativa falsa preparada de antemano (sección 1) reclama y enmarca el evento para el mundo antes de que las autoridades puedan decir una palabra.
Figura 10 — El escenario de convergencia como grafo de ataque: preparar, cegar, disparar, amplificar, explotar, con vulnerabilidades puntuadas por CVSS a lo largo de la cadena (USecVisLib).
Defensa
Ninguna contramedida aislada detiene eso. Lo único que lo hace es una defensa integrada, rápida y multidominio construida sobre una única imagen compartida de lo que está pasando: una única imagen operativa común compartida por la seguridad de la Casa Real, la Policía Nacional, la Guardia Civil, la Policía Municipal de Madrid, la Gendarmería y el equipo de avanzada del Vaticano, y los servicios de inteligencia, correlacionada lo bastante rápido como para que sirva. Cada defensa por sección de las anteriores alimenta esa única imagen, porque el ataque de convergencia es precisamente el que una defensa fragmentada y a velocidad humana no puede responder.
Conclusión
Una visita papal comprime todos los dominios de amenaza en un único evento televisado, al aire libre y cargado ideológicamente. Las lecciones de la serie SRF-IWS se aplican todas, pero el protegido cambia las cuentas.
El primer punto es que la información es el campo de batalla principal. Para un Papa que habla de migración ante el Parlamento y una multitud de 1,8 millones, los vectores de desinformación y deepfake son más probables, y seguramente más graves, que cualquier acto cinético. La comunicación estratégica es una función de seguridad, y punto.
El segundo es que la multitud es a la vez el público y el arma. Se pueden producir víctimas en masa en una multitud densa sin disparar un solo tiro, solo provocando el pánico. La dinámica de multitudes merece el mismo esfuerzo de planificación que la cobertura contra-francotirador.
El tercero es la convergencia. Desinformación que prepara, ciber y RF que ciegan, drones que disparan el gatillo, deepfakes que amplifican, encadenados y rápido. La defensa tiene que ser igual de integrada e igual de rápida.
El cuarto es que la historia es la advertencia. Los ataques a pontífices son un hecho documentado, no imaginación, y la planificación tiene que respetar ese historial.
Y el último es que la velocidad y la unidad deciden el resultado. Una defensa fragmentada y a velocidad humana no puede responder a una operación coordinada y multidominio. Una única imagen de mando compartida es el precio de la entrada.
El sentido de escribir todo esto es simple: los defensores, no los adversarios, deberían ser los primeros en haberlo pensado a fondo.
SRF
Sígueme: @simonroses
Este artículo continúa la investigación SRF-IWS sobre estrategias de guerra de la información aplicadas a entornos de protección de alto perfil.
