La Comisión Mixta (Congreso-Senado) de Seguridad Nacional ha dado luz verde este martes a un informe sobre riesgos y propuestas de mejora en ciberseguridad e inteligencia artificial que insta a ordenar y coordinar las capacidades con las que cuenta España en este ámbito. Aunque dichas capacidades son consideradas “relevantes”, el texto advierte de que están “dispersas” y “con distintos niveles de madurez”, lo que provoca “solapamientos, duplicidades e ineficiencias”.
El documento, elaborado en el seno de la ponencia dedicada al análisis de las amenazas en el ciberespacio en la era de la Inteligencia Artificial y la Computación Cuántica, ha sido aprobado con el respaldo de PP, PSOE y Vox. El PNV ha votado en contra, mientras que Sumar y EH Bildu han optado por la abstención.
Durante el debate en la comisión, el diputado del PP Mario Cortés, el senador del PSOE Víctor Ruiz de Diego y el diputado de Vox Alberto Asarta subrayaron la importancia creciente de la ciberseguridad en el escenario actual y coincidieron en que representa un “reto tremendo” para las sociedades y los gobiernos.
Por su parte, el portavoz del PNV en la comisión, Mikel Legarda, ha compartido que la ciberseguridad es una “materia estratégica”, pero ha justificado el rechazo de su grupo por la inclusión de una enmienda de Vox que reclama que el Estado asuma de forma centralizada todas las competencias en este campo. A su entender, esta propuesta choca con otra recomendación del propio informe que apuesta por coordinar las competencias entre los distintos niveles territoriales.
Además, el diputado de Sumar Txema Guijarro ha explicado la abstención de su grupo señalando que el texto pasa por alto que Estados Unidos es “una de las principales amenazas” en el terreno de la ciberseguridad. “Pese a declararse aliado, ya ha demostrado en el pasado reciente y no tan reciente la lejanía que mantiene con respecto a los intereses europeos en temas en materia de ciberseguridad”, ha apuntado.
Un diagnóstico compartido del sistema
El informe, al que ha tenido acceso Europa Press, recoge un diagnóstico común elaborado a partir de las aportaciones de representantes de las Fuerzas Armadas, Fuerzas y Cuerpos de Seguridad del Estado, Administración Pública, sector privado, mundo académico, operadores tecnológicos y organizaciones de la sociedad civil.
El texto detalla que los numerosos actores con competencias en ciberseguridad —Centro Criptológico Nacional (CCN), Incibe, Mando Conjunto del Ciberespacio, fuerzas policiales, administraciones territoriales y operadores privados— se rigen por marcos sectoriales o territoriales diferenciados y carecen de una visión “plenamente integrada”.
Aunque se reconocen “avances significativos”, los grupos constatan “solapamientos, duplicidades, ineficiencias, asimetrías territoriales y dificultades para obtener una visión integrada del riesgo y de la respuesta”.
Por ello, se plantea reforzar la coordinación y avanzar hacia un marco común tanto estratégico como operativo. En concreto, se propone “articular mecanismos estables de cooperación interinstitucional, armonizar criterios entre niveles administrativos y consolidar espacios de colaboración público-privada que permitan compartir información, capacidades y buenas prácticas”.
Amenaza estructural y soberanía tecnológica
El documento identifica las amenazas digitales como “fenómenos estructurales” que impactan de forma simultánea en infraestructuras críticas, administraciones públicas, empresas y ciudadanía, por lo que ya no pueden entenderse como incidentes aislados.
Como ejemplo, cita los más de 100.000 incidentes gestionados por el CCN en el sector público, los 83.000 incidentes registrados en el sector privado y el aumento del 14,5% en los procedimientos judiciales por ciberdelitos en 2024. Estos indicadores “evidencian que la amenaza no es coyuntural, sino estructural y en expansión”, remarca el informe.
En este escenario, el borrador de la Comisión Mixta de Seguridad Nacional sitúa la soberanía tecnológica como prioridad estratégica, entendida no sólo como capacidad industrial propia, sino como control, poder de decisión y resiliencia sobre las tecnologías críticas que sustentan la seguridad digital.
Los expertos que comparecieron ante la comisión, cuyas aportaciones han nutrido el informe, advirtieron de la “elevada” dependencia de proveedores y tecnologías no europeas, especialmente en áreas clave como la ciberseguridad, las comunicaciones, la Inteligencia Artificial o la computación cuántica, sin señalar de forma expresa a ningún país.
Esa dependencia fue descrita como un “factor de vulnerabilidad” en un contexto de tensiones geopolíticas y de uso del ciberespacio como herramienta de presión. En consecuencia, se insiste en impulsar una base tecnológica propia, reforzar la industria nacional y europea y orientar las decisiones de inversión, contratación pública y regulación hacia objetivos de seguridad y soberanía. También se subraya la necesidad de asegurar el control sobre datos, sistemas y cadenas de suministro, especialmente en sectores críticos y en la Administración Pública.
Marco legal, financiación y protección al ciudadano
El informe pone igualmente el foco en la “insuficiencia” del marco jurídico-normativo vigente para hacer frente a las modalidades más recientes y sofisticadas de ciberdelincuencia.
Se recoge que la Fiscalía General del Estado y otros comparecientes expusieron las limitaciones del Código Penal actual para perseguir fenómenos como el “crime as a service” (ciberdelincuentas venden o alquilan herramientas o infraestructuas para perpetrar ataques), las estafas complejas, el uso de criptomonedas o ciertas conductas facilitadas por la IA.
En paralelo, se destaca la necesidad de reforzar las capacidades policiales y judiciales, tanto en medios técnicos como en formación especializada, con el fin de asegurar una respuesta eficaz frente a estos delitos en un entorno transnacional.
El texto reclama también un modelo de financiación estable o de “financiación basal” que permita mantener en el tiempo las capacidades de ciberseguridad, tanto en el sector público como en los ecosistemas de innovación, formación e investigación. Según el informe, varios expertos coinciden en que las inversiones puntuales o ligadas a programas temporales resultan insuficientes ante amenazas permanentes y en constante evolución.
Finalmente, el documento subraya la “urgencia” de reforzar la protección del ciudadano como eje de las políticas de ciberseguridad: mejorar la atención a las víctimas, reducir las barreras a la denuncia, impulsar la formación y la concienciación y garantizar que el avance tecnológico vaya acompañado de salvaguardas efectivas de los derechos fundamentales.