La teoría de la prevención situacional del delito como aporte al desarrollo de capacidades adaptativas organizacionales en entornos digitales
El control de seguridad no protege por existir en un documento; protege en la medida que modifica, de manera concreta, la oportunidad que percibe quien intenta atacarnos.
Reinterpretar el diseño del entorno digital como criterio de ciberresiliencia, y no solamente como una medida más de reducción del delito.
La teoría de la prevención situacional del delito como aporte al desarrollo de capacidades adaptativas organizacionales en entornos digitales: una aproximación desde la innovación cognitiva, adversarial y frugal
Reinterpretar el diseño del entorno digital como criterio de ciberresiliencia, y no solamente como una medida más de reducción del delito.
ORCID 0009-0005-3797-2596Organizations operate in digital environments marked by uncertainty, emerging threats and accelerated technological change. In this setting, adaptive capabilities have become central to organizational resilience and to effective risk management. This article examines how Ronald Clarke's situational crime prevention theory can contribute to building adaptive capabilities in digital ecosystems. Through a conceptual review, we explore the links between environmental criminology, cognitive innovation, adversarial innovation and frugal innovation as complementary mechanisms for anticipating, understanding and reducing the opportunities that malicious actors exploit. We propose an integrative model that interprets situational prevention not merely as a crime-reduction strategy, but as an adaptive design approach aimed at strengthening cyber-resilience and organizational learning. We argue that Clarke's principles offer a sound conceptual basis for organizations that must evolve against dynamic threats, particularly in regulated environments such as the financial and fintech sector. The discussion also addresses the limits of transferring a physical-space theory to cyberspace and outlines a research agenda for empirical validation.
Keywords: adaptive capabilities, adversarial innovation, cognitive innovation, frugal innovation, cyber-resilience, situational crime prevention, Ronald Clarke, cybersecurity.
Las organizaciones operan en entornos digitales caracterizados por alta incertidumbre, amenazas emergentes y cambios tecnológicos acelerados. En ese contexto, las capacidades adaptativas se han convertido en un elemento central para la resiliencia organizacional y la gestión efectiva del riesgo. En el presente artículo analizamos las contribuciones de la teoría de la prevención situacional del delito de Ronald Clarke al desarrollo de capacidades adaptativas en ecosistemas digitales. A partir de una revisión conceptual, exploramos los vínculos entre la criminología ambiental, la innovación cognitiva, la innovación adversarial y la innovación frugal como mecanismos complementarios para anticipar, comprender y reducir las oportunidades de explotación que aprovecha el actor malicioso. Proponemos un modelo integrador que interpreta la prevención situacional no solo como una estrategia de reducción del delito, sino como un enfoque de diseño adaptativo orientado a fortalecer la ciberresiliencia y el aprendizaje organizacional. Sostenemos que los principios de Clarke aportan una base conceptual pertinente para organizaciones que deben evolucionar frente a amenazas dinámicas, particularmente en entornos regulados como el sector financiero y fintech.
Palabras clave: capacidades adaptativas, innovación adversarial, innovación cognitiva, innovación frugal, ciberresiliencia, prevención situacional del delito, Ronald Clarke, ciberseguridad.
01Introducción
La transformación digital ha reconfigurado de raíz la forma en que operan las organizaciones. La adopción de infraestructura en la nube, dispositivos del Internet de las Cosas (IoT), plataformas colaborativas y sistemas de inteligencia artificial ha ampliado de manera sostenida la superficie de ataque. En estos ecosistemas hiperconectados, las amenazas no solo se han vuelto más frecuentes, sino también más complejas, por cuanto combinan ingeniería social, explotación de vulnerabilidades técnicas y uso de criptoactivos para evadir controles y dificultar la trazabilidad.
Tradicionalmente, la ciberseguridad organizacional se ha sostenido sobre controles perimetrales, listas de verificación de cumplimiento y arquitecturas estáticas. Debemos entender que estos modelos, predominantemente reactivos, presentan dificultades para responder ante amenazas que no se ajustan a patrones conocidos. La dependencia de firmas de ataque y reglas predefinidas limita su eficacia frente a un adversario que modifica de forma continua sus tácticas, técnicas y procedimientos (TTP). En términos de negocio, esto significa que la inversión en seguridad envejece a la velocidad a la que el atacante aprende.
Frente a este escenario surge la necesidad de desarrollar capacidades adaptativas: aprendizaje continuo, reconfiguración de recursos, anticipación de escenarios y construcción de resiliencia. Notemos que la organización ya no requiere únicamente defenderse, sino evolucionar su postura de protección, aprendiendo de cada incidente y transformando su forma de operar.
El presente artículo tiene por objetivo analizar las contribuciones de la teoría de la prevención situacional del delito de Ronald Clarke al fortalecimiento de capacidades adaptativas organizacionales, articuladas mediante mecanismos de innovación cognitiva, adversarial y frugal en entornos digitales.
02Marco teórico
El concepto de capacidades adaptativas se nutre de desarrollos clave en la teoría organizacional. Teece (2007) introdujo las dynamic capabilities como la habilidad de la firma para integrar, construir y reconfigurar competencias internas y externas ante entornos de cambio acelerado. De manera complementaria, la adaptive capacity (Folke et al., 2010) refiere a la capacidad de un sistema socio-técnico para ajustar sus respuestas ante perturbaciones sin cruzar umbrales críticos. La ingeniería de la resiliencia (Hollnagel et al., 2011) enfatiza cuatro procesos: detectar (sensing), aprender (learning), adaptar (adapting) y transformar (transforming) cuando el cambio estructural se vuelve necesario.
La innovación cognitiva se fundamenta en el aprendizaje organizacional y la creación de conocimiento. Nonaka y Takeuchi (1995) modelaron la conversión de conocimiento tácito a explícito. Weick (1995) aportó el concepto de sensemaking, esto es, la construcción de significado ante situaciones ambiguas. Argyris y Schön (1978) distinguieron entre el aprendizaje de bucle simple, que corrige errores dentro de los marcos vigentes, y el de bucle doble, que cuestiona los marcos mismos. La inteligencia colectiva (Lévy, 1997) complementa estas visiones al aprovechar la diversidad cognitiva del equipo para enfrentar problemas complejos.
La innovación adversarial implica pensar como el atacante. Se apoya en el pensamiento adversarial, que busca comprender objetivos, capacidades y restricciones del oponente; en el red teaming, o simulación controlada de ataques; y en el modelado de amenazas (threat modeling). Marcos como MITRE ATT&CK proporcionan taxonomías detalladas de tácticas y técnicas a partir de observaciones reales (Strom et al., 2018), mientras que la inteligencia de amenazas (Cyber Threat Intelligence) permite anticipar movimientos del adversario mediante el análisis de indicadores de compromiso y patrones de comportamiento.
La innovación frugal, desarrollada por Radjou y Prabhu (2015), se caracteriza por crear soluciones simples, de bajo costo y alto impacto, utilizando recursos limitados de manera creativa. Sus principios incluyen reutilizar, adaptar, simplificar y descartar lo superfluo. En entornos digitales, esto se traduce en la capacidad de implementar ajustes incrementales en los controles sin recurrir a inversiones masivas, manteniendo la efectividad bajo restricciones presupuestarias o técnicas. Pensemos en el badén de una vía: una intervención modesta que modifica la conducta del conductor sin necesidad de reconstruir toda la calle.
Ronald Clarke, en colaboración con Cornish, desarrolló la perspectiva de la elección racional del delincuente, según la cual el actor malicioso evalúa costos, beneficios y riesgos antes de cometer un delito (Cornish y Clarke, 1986). De manera complementaria, Cohen y Felson (1979) propusieron la teoría de las actividades rutinarias, que identifica tres elementos necesarios para que el delito ocurra: un ofensor motivado, un blanco adecuado y la ausencia de un guardián capaz. Sobre esta base, Clarke articuló veinticinco técnicas de prevención situacional agrupadas en cinco estrategias: aumentar el esfuerzo del delincuente, aumentar los riesgos, reducir las recompensas, reducir las provocaciones y eliminar excusas (Cornish y Clarke, 2003). La criminología ambiental, de la que esta teoría forma parte, sostiene que modificar el diseño del entorno, físico o digital, altera de forma significativa las oportunidades delictivas.
03Vinculación conceptual entre la teoría de Clarke y las capacidades adaptativas
La prevención situacional no se propone eliminar la motivación del delincuente, sino modificar las condiciones del entorno para que delinquir resulte menos atractivo. Pensemos en el urbanista que enfrenta los hurtos en una plaza: no pretende moralizar al carterista, sino rediseñar el espacio, mejorando la iluminación, despejando los rincones ciegos y ordenando el flujo de personas, de manera que la oportunidad se reduzca por diseño. Este enfoque es inherentemente adaptativo: a medida que el ofensor cambia su táctica, la situación debe rediseñarse. En el dominio organizacional, las capacidades adaptativas habilitan precisamente esa modificación continua de las condiciones del entorno digital.
La teoría de Clarke exige comprender en profundidad la toma de decisiones del atacante. Esto se alinea de manera directa con la innovación adversarial: modelar el costo-beneficio que percibe un actor malicioso al intentar explotar una vulnerabilidad. Técnicas como aumentar la dificultad de identificación del objetivo o controlar el acceso a herramientas de ataque traducen el pensamiento adversarial en intervenciones concretas. Recalcando que la anticipación estratégica, elemento central de la innovación adversarial, se potencia al aplicar de forma sistemática los principios de prevención situacional.
La aplicación efectiva de la prevención situacional requiere aprendizaje organizacional. Cada incidente ofrece información sobre qué oportunidad de explotación fue aprovechada. La innovación cognitiva permite transformar esos eventos en conocimiento: cambiar los modelos mentales sobre cómo ocurren los ataques, construir sensemaking colectivo ante amenazas novedosas y generar bucles de retroalimentación que actualicen la percepción del riesgo. Así, la organización transita de una lógica de culpabilización individual hacia una de rediseño situacional.
Muchas de las veinticinco técnicas de Clarke son intervenciones de bajo costo y alta efectividad. En el plano digital, esto se traduce en habilitar autenticación de múltiples factores, reducir privilegios innecesarios o segmentar redes. La innovación frugal aporta la lógica para priorizar aquellos ajustes incrementales que ofrecen el mayor retorno en reducción de oportunidades, operando bajo restricciones de recursos y evitando el sobredimensionamiento tecnológico, que suele confundirse con seguridad.
04Propuesta de modelo conceptual integrador
El modelo articula cuatro capacidades en un ciclo virtuoso, donde cada una cumple una función específica:
- Innovación cognitiva, para comprender: genera mapas mentales compartidos sobre cómo el entorno digital crea oportunidades de explotación.
- Innovación adversarial, para anticipar: modela las decisiones del atacante y proyecta sus movimientos.
- Innovación frugal, para actuar: implementa intervenciones de bajo costo que modifican las condiciones situacionales.
- Prevención situacional, para modificar oportunidades: aporta las técnicas concretas para alterar el escenario de ataque.
- Capacidades adaptativas, para aprender y evolucionar: cierran el ciclo incorporando los resultados de las intervenciones en nuevos patrones de comprensión.
La dinámica se representa como un flujo continuo de seis fases:
- Comprensión (innovación cognitiva): se analizan incidentes previos y se modela el ecosistema digital.
- Anticipación (innovación adversarial): se simulan ataques y se identifican oportunidades de explotación futuras.
- Intervención (innovación frugal y prevención situacional): se aplican técnicas de Clarke ajustadas al contexto digital.
- Aprendizaje: se evalúa la efectividad de la intervención y se extraen lecciones.
- Adaptación: se reconfiguran procesos, políticas o arquitecturas.
- Resiliencia: la organización mantiene sus funciones críticas incluso bajo ataque continuo.
Notemos que el valor del ciclo no está en ninguna fase aislada, sino en su recorrido sostenido: cada vuelta deja a la organización en mejor posición que la anterior, por cuanto la oportunidad de explotación se reduce de forma incremental y el conocimiento se acumula.
05Implicaciones para la ciberseguridad y el sector financiero
El modelo desplaza la gestión del riesgo basada en estándares estáticos hacia una práctica adaptativa, donde los controles se reconfiguran según la evolución de las TTP del adversario. Debemos entender que esta lógica no contradice el cumplimiento normativo, sino que lo encuadra: el cumplimiento constituye el piso, y no el techo, de una postura de seguridad madura.
En el caso boliviano, esta lectura resulta particularmente pertinente para las entidades supervisadas por la Autoridad de Supervisión del Sistema Financiero (ASFI) y por la Autoridad de Fiscalización y Control de Pensiones y Seguros (APS). El Reglamento para la Gestión de la Seguridad de la Información (RGSI) establece un marco de control que, leído con la lente de Clarke, puede entenderse no como un fin en sí mismo, sino como un conjunto de mecanismos para reducir oportunidades de explotación.
Recomendamos que los comités de riesgo de las entidades reguladas evalúen cada control del RGSI no solo por su cumplimiento formal, sino por la oportunidad de explotación concreta que reduce. Este criterio permite priorizar la implementación allí donde el atacante percibe el mayor incentivo, y orientar la inversión de seguridad hacia las intervenciones de mayor retorno.
Los controles de seguridad dejan de diseñarse una sola vez y se convierten en objetos adaptativos que aprenden del contexto, como reglas de firewall que se ajustan ante patrones anómalos o políticas de acceso que se endurecen según el nivel de riesgo detectado.
La gobernanza de la seguridad debe incorporar métricas de oportunidad de explotación, y no solo de incidencia. Esto implica que los comités de riesgo evalúen periódicamente cómo el diseño de las plataformas digitales facilita o dificulta la acción del adversario. Aspecto que conecta directamente con las dimensiones de gobernanza incorporadas en marcos actuales como NIST CSF 2.0 (NIST, 2024) y con los requisitos de un sistema de gestión bajo ISO/IEC 27001:2022.
El modelo resulta especialmente relevante para amenazas como la IA maliciosa, que automatiza la búsqueda de oportunidades; el fraude digital, donde la ingeniería social explota vacíos situacionales; los criptoactivos, que facilitan el anonimato del atacante; los ecosistemas fintech, con interfaces programables expuestas; y los ataques híbridos, que combinan vectores físicos y digitales. La literatura especializada confirma esta dirección: Newman y Clarke (2003) demostraron tempranamente la aplicabilidad de la prevención situacional al comercio electrónico, y Hartel et al. (2010) propusieron una ciencia del cibercrimen que combina la seguridad de la información con los métodos empíricos de la criminología.
El control de seguridad no protege por existir en un documento; protege en la medida que modifica, de manera concreta, la oportunidad que percibe quien intenta atacarnos.
06Discusión
La aplicación de la teoría de Clarke en entornos digitales no es directa. La principal limitación radica en que el ciberespacio carece de referencias físicas estables, como una puerta o una ventana, y en que el guardián capaz puede ser un sistema automatizado o un algoritmo. Sin embargo, el principio central, modificar las oportunidades para reducir el delito, se mantiene vigente si reinterpretamos el entorno como interfaz de usuario, interfaz de programación (API), flujo de datos o proceso de autenticación.
Otro aspecto a debatir es la complementariedad con las capacidades dinámicas. Mientras Teece se enfoca en la ventaja competitiva, la prevención situacional se enfoca en la reducción de oportunidades delictivas. La integración propuesta sugiere que la seguridad no debe ser un obstáculo para la innovación, sino un criterio de diseño adaptativo más.
Si bien se reconoce que la aplicabilidad organizacional exige superar la fragmentación típica entre los equipos de seguridad, con su mirada técnica; de gestión de riesgos, con su mirada normativa; y de la alta dirección, con su mirada estratégica, consideramos que el modelo integrador ofrece un lenguaje común: la oportunidad de explotación es una propiedad del sistema que todos pueden ayudar a modificar.
07Conclusiones
La teoría de la prevención situacional del delito de Ronald Clarke mantiene una vigencia conceptual significativa en entornos digitales, siempre que adaptemos su lenguaje al diseño de sistemas de información, plataformas y flujos de trabajo. Sus principios contribuyen a comprender y gestionar las oportunidades de explotación no como fallos individuales, sino como propiedades modificables del entorno.
La innovación cognitiva, adversarial y frugal potencian la operacionalización de dichos principios, aportando respectivamente comprensión compartida, anticipación estratégica y acción eficiente con recursos limitados. Las capacidades adaptativas constituyen el mecanismo organizacional que transforma estas contribuciones en resiliencia y ciberresiliencia.
Proponemos una agenda futura orientada a validar empíricamente el modelo en organizaciones del sector financiero y en ecosistemas digitales complejos, mediante estudios de caso y métricas de reducción de oportunidades de ataque. Esperamos que en el corto plazo la inteligencia artificial generativa permita automatizar la detección de configuraciones situacionales de alto riesgo y sugerir intervenciones adaptativas basadas en las técnicas de Clarke. Aspecto que está siendo cubierto, de manera incipiente, por las primeras herramientas de simulación adversarial asistida.
08Referencias
Argyris, C., y Schön, D. A. (1978). Organizational learning: A theory of action perspective. Addison-Wesley.
Brantingham, P. J., y Brantingham, P. L. (1981). Environmental criminology. Sage Publications.
Clarke, R. V. (1997). Situational crime prevention: Successful case studies (2.ª ed.). Harrow and Heston.
Cohen, L. E., y Felson, M. (1979). Social change and crime rate trends: A routine activity approach. American Sociological Review, 44(4), 588–608.
Cornish, D. B., y Clarke, R. V. (1986). The reasoning criminal: Rational choice perspectives on offending. Springer-Verlag.
Cornish, D. B., y Clarke, R. V. (2003). Opportunities, precipitators and criminal decisions: A reply to Wortley's critique of situational crime prevention. Crime Prevention Studies, 16, 41–96.
Felson, M., y Clarke, R. V. (1998). Opportunity makes the thief: Practical theory for crime prevention (Police Research Series Paper 98). Home Office.
Folke, C., Carpenter, S. R., Walker, B., Scheffer, M., Chapin, T., y Rockström, J. (2010). Resilience thinking: Integrating resilience, adaptability and transformability. Ecology and Society, 15(4), 20.
Hartel, P. H., Junger, M., y Wieringa, R. J. (2010). Cyber-crime science = Crime science + Information security (CTIT Technical Report TR-CTIT-10-34). University of Twente.
Hollnagel, E., Pariès, J., Woods, D. D., y Wreathall, J. (Eds.). (2011). Resilience engineering in practice: A guidebook. Ashgate.
International Organization for Standardization. (2022). ISO/IEC 27001:2022. Information security, cybersecurity and privacy protection — Information security management systems — Requirements. ISO.
Lévy, P. (1997). Collective intelligence: Mankind's emerging world in cyberspace. Plenum Press.
National Institute of Standards and Technology. (2024). The NIST Cybersecurity Framework (CSF) 2.0 (NIST CSWP 29). U.S. Department of Commerce. https://doi.org/10.6028/NIST.CSWP.29
Newman, G. R., y Clarke, R. V. (2003). Superhighway robbery: Preventing e-commerce crime. Willan Publishing.
Nonaka, I., y Takeuchi, H. (1995). The knowledge-creating company: How Japanese companies create the dynamics of innovation. Oxford University Press.
Radjou, N., y Prabhu, J. (2015). Frugal innovation: How to do more with less. PublicAffairs.
Strom, B. E., Applebaum, A., Miller, D. P., Nickels, K. C., Pennington, A. G., y Thomas, C. B. (2018). MITRE ATT&CK: Design and philosophy. The MITRE Corporation.
Teece, D. J. (2007). Explicating dynamic capabilities: The nature and microfoundations of (sustainable) enterprise performance. Strategic Management Journal, 28(13), 1319–1350.
Teece, D. J., Pisano, G., y Shuen, A. (1997). Dynamic capabilities and strategic management. Strategic Management Journal, 18(7), 509–533.
Weick, K. E. (1995). Sensemaking in organizations. Sage Publications.
Weick, K. E., Sutcliffe, K. M., y Obstfeld, D. (2005). Organizing and the process of sensemaking. Organization Science, 16(4), 409–421.
Autor / Redactor / Director
