España cuenta con capacidades “relevantes” en ciberseguridad, tanto en el sector público como en el privado, pero estas se encuentran “dispersas” y “con distintos niveles de madurez”, lo que provoca “solapamientos, duplicidades e ineficiencias”, de acuerdo con el borrador de informe que se debatirá en la Comisión Mixta (Congreso-Senado) de Seguridad Nacional.
El documento, al que ha tenido acceso Europa Press y que este martes se terminará de perfilar a puerta cerrada en la ponencia de la comisión, recoge un diagnóstico compartido por representantes de las Fuerzas Armadas, Fuerzas y Cuerpos de Seguridad del Estado, Administración Pública, empresas privadas, mundo académico, operadores tecnológicos y organizaciones de la sociedad civil.
El texto subraya que los numerosos actores con competencias en ciberseguridad —Centro Criptológico Nacional (CCN), INCIBE, Mando Conjunto del Ciberespacio, fuerzas policiales, administraciones territoriales y operadores privados— se rigen por marcos sectoriales o territoriales diferenciados y carecen de una visión “plenamente integrada”.
De este modo, pese a los “avances significativos” que reconoce el informe, la coexistencia de estos actores genera “solapamientos, duplicidades, ineficiencias, asimetrías territoriales y dificultades para obtener una visión integrada del riesgo y de la respuesta”.
Ante este escenario, el borrador propone reforzar la coordinación y caminar hacia un marco común, tanto en el plano estratégico como en el operativo. En particular, plantea “articular mecanismos estables de cooperación interinstitucional, armonizar criterios entre niveles administrativos y consolidar espacios de colaboración público-privada que permitan compartir información, capacidades y buenas prácticas”.
Una amenaza estructural y en expansión
El informe describe las amenazas digitales como “fenómenos estructurales” que inciden simultáneamente sobre infraestructuras críticas, administraciones públicas, tejido empresarial y ciudadanos, por lo que ya no pueden entenderse como sucesos aislados.
Como ejemplo, menciona los más de 100.000 incidentes gestionados por el CCN en el ámbito público, los 83.000 incidentes registrados en el sector privado y el aumento del 14,5% en los procedimientos judiciales por ciberdelitos en 2024. Estos indicadores “evidencian que la amenaza no es coyuntural, sino estructural y en expansión”, recalca el trabajo.
En este contexto, el borrador de la Comisión Mixta de Seguridad Nacional sitúa la soberanía tecnológica como una prioridad estratégica, entendida no sólo como autonomía industrial, sino como capacidad de control, decisión y resiliencia sobre las tecnologías críticas que sustentan la seguridad digital.
Los expertos que comparecieron ante la comisión, cuyas aportaciones han servido de base para el informe, advirtieron de la “elevada” dependiencia de proveedores y tecnologías no europeas en ámbitos clave como la ciberseguridad, las comunicaciones, la Inteligencia Artificial o la computación cuántica, sin señalar a ningún país en concreto.
Esa dependencia fue señalada como un “factor de vulnerabilidad” en un escenario de tensiones geopolíticas y de uso del ciberespacio como herramienta de presión. En esta línea, los especialistas insisten en la conveniencia de impulsar una base tecnológica propia, potenciar la industria nacional y europea y orientar las decisiones de inversión, contratación pública y regulación hacia objetivos de seguridad y soberanía, además de asegurar el control sobre datos, sistemas y cadenas de suministro, especialmente en sectores críticos y en la Administración Pública.
Marco legal y financiación para una ciberseguridad sostenible
El informe también pone el foco en la “insuficiencia” del marco jurídico-normativo vigente para dar respuesta a algunas de las manifestaciones más recientes y complejas de ciberdelincuencia.
Recoge que la Fiscalía General del Estado y otros comparecientes expusieron las limitaciones del Código Penal actual para afrontar fenómenos como el ‘crime as a service’ (ciberdelincuentas venden o alquilan herramientas o infraestructuas para perpetrar ataques), las estafas sofisticadas, el empleo de criptomonedas o determinadas conductas facilitadas por la IA.
Paralelamente, subrayaron la necesidad de reforzar las capacidades policiales y judiciales, tanto en medios técnicos como en formación especializada, con el fin de asegurar una persecución eficaz de estos delitos en un entorno transnacional.
El texto alude, además, a la conveniencia de articular un modelo de financiación estable o de “financiación basal” que permita mantener en el tiempo las capacidades de ciberseguridad, tanto en el sector público como en los ecosistemas de innovación, formación e investigación. Varios expertos coinciden, según el informe, en que las inversiones puntuales o ligadas a programas temporales resultan insuficientes para hacer frente a amenazas permanentes y en continua evolución.
Por último, el borrador remarca la “urgencia” de situar la protección del ciudadano como eje de las políticas de ciberseguridad: mejorar la atención a las víctimas, reducir las barreras a la denuncia, reforzar la formación y la concienciación y garantizar que el desarrollo tecnológico vaya acompañado de salvaguardas efectivas de los derechos fundamentales.