La Regla 99/1: el uno por ciento que puede cambiarlo todo

junio 15, 2026

Por Gustavo Ibáñez Padilla.

En el mundo de la seguridad, la contrainteligencia y la gestión de riesgos existen principios que no surgieron en un laboratorio ni en un tratado académico, sino de la observación repetida de la realidad. Uno de ellos es la Regla 99/1, o Regla de Ibáñez Padilla, cuya formulación es tan sencilla como contundente:

“En Contrainteligencia y Seguridad, el 99 % del tiempo no pasa nada, y en el 1 % restante pasa todo.”

La frase parece una paradoja, pero describe con extraordinaria precisión el funcionamiento de los sistemas de seguridad, ya sean estatales, corporativos o personales.

Por supuesto, los valores 99 y 1 no constituyen proporciones matemáticas exactas. Son números simbólicos que expresan una realidad empírica: los acontecimientos decisivos suelen concentrarse en un período extremadamente breve, precedido por largos intervalos de aparente normalidad. El riesgo puede permanecer latente durante meses o años y, sin embargo, manifestarse en cuestión de minutos con consecuencias devastadoras.

La historia de la humanidad está llena de ejemplos.

Las empresas quiebran en pocos días después de años de crecimiento. Los mercados financieros se desploman en semanas tras largos períodos de prosperidad. Los atentados terroristas duran apenas minutos, pero cambian el rumbo de naciones enteras. Una familia puede perder su estabilidad económica en un instante debido al fallecimiento prematuro de quien proveía el sustento del hogar.

La gran lección es que las crisis extraordinarias no se anuncian. Simplemente ocurren.

La peligrosa ilusión de la normalidad

La mente humana está programada para proyectar el pasado hacia el futuro. Si algo no ha sucedido en mucho tiempo, tendemos a creer que probablemente nunca sucederá.

Es un mecanismo psicológico natural, pero extremadamente peligroso en materia de seguridad.

La ausencia prolongada de incidentes genera confianza; la confianza conduce a la rutina; la rutina produce relajación; y la relajación abre las puertas al desastre.

En mi artículo El importante mensaje de Los tres días del cóndor, señalaba que la gran enseñanza de aquella magnífica obra cinematográfica es precisamente la necesidad de permanecer alerta aun cuando todo parece estar en calma. Las amenazas más peligrosas suelen desarrollarse silenciosamente, lejos de la atención de quienes se han acostumbrado a la normalidad.

En el ámbito empresarial esto se traduce en expresiones muy frecuentes:

—“Nunca tuvimos un problema de seguridad.”

—“Jamás sufrimos un ciberataque.”

—“Nadie intentaría hacer algo así.”

—“No vale la pena gastar dinero en prevención.”

Precisamente ahí reside el peligro.

La historia demuestra que las mayores catástrofes suelen ocurrir después de largos períodos en los que aparentemente no había motivo de preocupación.

El uno por ciento en el que ocurre todo

El uno por ciento de la regla representa el instante crítico. Es el momento en que la amenaza deja de ser una hipótesis y se convierte en realidad.

Una intrusión informática.

Un atentado.

Una filtración de información estratégica.

Un fraude interno.

Una demanda judicial.

Un incendio.

La muerte prematura del sostén económico de una familia.

En ese momento ya no existe tiempo para planificar. Solamente queda ejecutar aquello que se preparó durante el largo período de tranquilidad.

Por ello, la seguridad tiene una característica paradójica: cuando funciona correctamente parece inútil.

El éxito de un sistema de prevención consiste, precisamente, en que no ocurre nada.

Pero el día en que llega el 1 %, todo el valor acumulado durante años de preparación se hace evidente de forma inmediata.

El seguro de vida y la protección de la familia

Pocas actividades ilustran mejor la Regla 99/1 que el seguro de vida.

Durante años o décadas, una familia paga una prima periódica y, aparentemente, no recibe ningún beneficio tangible. La cobertura permanece allí, silenciosa, sin utilizarse. A los ojos de algunos, parece un gasto innecesario.

Hasta que llega el momento crítico.

Imaginemos una familia en la que el principal sostén económico fallece inesperadamente a los cuarenta y cinco años. La hipoteca continúa existiendo. Los gastos educativos de los hijos continúan. Las expensas, la alimentación y las obligaciones financieras permanecen intactas, pero los ingresos desaparecen de un día para otro.

En ese instante, el seguro de vida deja de ser un contrato y se convierte en una herramienta de supervivencia económica.

Durante veinte años no había ocurrido nada. Sin embargo, en un solo día ocurrió todo.

El propósito del seguro de vida no es proteger el 99 % de normalidad. Su verdadera razón de ser es el 1 % de las circunstancias extraordinarias que pueden cambiar para siempre el destino de una familia.

Lo mismo sucede con la constitución de un fondo de emergencia, la elaboración de un testamento o la planificación patrimonial. Son medidas que parecen innecesarias hasta el día en que se vuelven imprescindibles.

La farmacia y los riesgos de baja frecuencia y alto impacto

La gestión de riesgos en una farmacia ofrece un ejemplo particularmente interesante.

Miles de operaciones se realizan cada mes sin inconvenientes. Los medicamentos se dispensan correctamente y los pacientes reciben el tratamiento adecuado.

Pero basta un único error.

Una equivocación en la concentración de un medicamento pediátrico.

Una alteración en la cadena de frío de una vacuna.

La entrega de un producto incorrectamente rotulado.

La confusión entre dos medicamentos de nombres similares.

Ese único incidente puede provocar graves daños a la salud de un paciente, desencadenar demandas judiciales millonarias y destruir la reputación construida durante años.

Por ello existen protocolos, procedimientos de doble verificación, herramientas de trazabilidad, auditorías, programas de capacitación permanente y sistemas de gestión de riesgos.

Durante el 99 % del tiempo parecen excesivos.

En el 1 % restante demuestran su verdadero valor.

La amenaza terrorista y la preparación permanente

El terrorismo constituye una de las expresiones más dramáticas de la Regla 99/1.

Una ciudad puede vivir décadas de paz. Los controles de seguridad comienzan a percibirse como una molestia. Los presupuestos destinados a inteligencia y prevención son cuestionados. Las medidas de vigilancia se consideran exageradas.

Hasta que un día se produce un atentado.

En cuestión de minutos cambian las prioridades nacionales, la percepción del riesgo, la política y la vida de miles de personas.

La preparación de los organismos de seguridad se realiza precisamente para ese breve instante.

Porque el día del ataque ya no existe tiempo para diseñar procedimientos, entrenar al personal o establecer mecanismos de coordinación.

Todo eso debió hacerse antes.

El adversario necesita acertar una sola vez.

Los defensores, en cambio, deben estar preparados todos los días.

Contrainteligencia empresarial: basta un solo infiltrado

En el ámbito corporativo la amenaza suele adoptar formas más discretas.

La inmensa mayoría de los empleados son personas honestas y comprometidas con la organización. Pero basta una excepción.

Un directivo desleal.

Un colaborador resentido.

Un empleado reclutado por la competencia.

Un proveedor comprometido.

Un individuo sometido a chantaje.

La historia empresarial está llena de casos en los que una sola persona produjo daños extraordinarios.

Un único empleado puede copiar bases de datos de clientes, revelar secretos industriales, filtrar estrategias comerciales, sustraer información sobre licitaciones o facilitar el acceso de terceros a sistemas críticos.

Las pérdidas económicas pueden ser enormes, pero el daño reputacional suele ser aún mayor.

Después de cada incidente aparece la misma pregunta:

—¿Cómo pudo ocurrir?

La respuesta suele ser sencilla:

Porque durante demasiado tiempo se creyó que no podía ocurrir.

La contrainteligencia empresarial existe precisamente para gestionar ese uno por ciento de riesgo que puede comprometer la supervivencia de una organización.

La seguridad informática y el enemigo invisible

La ciberseguridad constituye la manifestación digital de la Regla 99/1.

Millones de transacciones se realizan diariamente sin inconvenientes. Los servidores funcionan, las comunicaciones fluyen y las operaciones continúan con normalidad.

Entonces llega el ransomware.

En pocas horas una organización puede ver secuestrada toda su información, paralizadas sus operaciones y destruida su reputación.

A menudo el ataque dura apenas unas horas.

Las consecuencias pueden prolongarse durante años.

Por ello, las copias de respaldo, los sistemas de detección, la capacitación del personal y las auditorías permanentes son inversiones que parecen excesivas… hasta el día en que se las necesita.

La Regla 99/1 y los errores de decisión

Desde la perspectiva estadística, la Regla 99/1 se relaciona estrechamente con los llamados Error Tipo I y Error Tipo II.

El Error Tipo I consiste en detectar una amenaza que finalmente no existe. Es un falso positivo.

El Error Tipo II consiste en no detectar una amenaza real. Es un falso negativo.

En numerosos ámbitos de la seguridad resulta preferible soportar algunos falsos positivos antes que dejar pasar la única amenaza capaz de producir una catástrofe.

Investigar una sospecha infundada tiene un costo.

Ignorar la única amenaza real puede destruir una empresa, una institución o una familia.

Por esa razón, la seguridad profesional acepta deliberadamente ciertos niveles de sobreprotección.

Su objetivo no es administrar la tranquilidad del 99 %, sino prepararse para el 1 %.

Una filosofía de preparación

La Regla de Ibáñez Padilla es, en esencia, una filosofía de previsión y prudencia.

Nos recuerda que la estabilidad prolongada no elimina el riesgo; simplemente hace que olvidemos su existencia.

Nos enseña que las amenazas más peligrosas son precisamente aquellas que parecen improbables.

Y nos obliga a formular una pregunta incómoda pero imprescindible:

¿Qué ocurriría si mañana sucediera aquello que creemos imposible?

La respuesta a esa pregunta determina la calidad de nuestra seguridad personal, familiar y empresarial.

Porque las personas y las organizaciones rara vez fracasan por los problemas cotidianos. Generalmente fracasan por los acontecimientos extraordinarios para los cuales nunca se prepararon.

Por ello, el momento de actuar es ahora, durante el 99 % del tiempo en que aparentemente no ocurre nada.

Revise sus planes de contingencia. Proteja a su familia. Evalúe sus coberturas de seguros. Fortalezca la seguridad de su empresa. Capacite a su personal. Audite sus vulnerabilidades. Desarrolle protocolos y practique su ejecución.

No espere al uno por ciento.

Porque cuando ese momento llega, ya no queda tiempo para prepararse.

Y, en definitiva, la verdadera misión de la contrainteligencia, la seguridad y la gestión de riesgos no consiste en administrar la tranquilidad, sino en estar listos para el instante extraordinario que puede cambiarlo todo.

Fuente: Ediciones EP, 15/06/26.

Información sobre Gustavo Ibáñez Padilla