En 2024, España recibió más de 100.000 ciberataques, según los datos que aporta el Gobierno, y un tercio de ellos fue grave. Es un 300% más que en 2015. En gran parte por eso y de forma más o menos paulatina, el espacio y el tiempo que ocupa la ciberseguridad en la vida política española se ha dilatado. Quizá no un 300% más que en 2015, pero ahora se habla, se legisla y se invierte mucho más en materia de ciberseguridad que nunca. 

Es, sin duda, una de las principales preocupaciones de las diferentes fuerzas políticas, pero los distintos diputados consultados para este reportaje —todos ellos parte de una ponencia sobre las amenazas en el ciberespacio que se está llevando a cabo dentro de la Comisión de Seguridad Nacional del Congreso— coinciden en una idea: existe la sensación —casi la certeza— de que los hackers siempre van más rápido que el escudo que se pueda construir en su contra y, por supuesto, que cualquier ley que se pueda acordar y aprobar.

En el Congreso está en marcha un grupo de trabajo específico sobre las amenazas en el ciberespacio

En cualquier caso, ese interés y esa preocupación de los grupos parlamentarios se traducen en más de 180 iniciativas registradas en el Congreso sobre la materia durante esta legislatura. Por su lado, el Gobierno acaba de aprobar una inversión de 1.157 millones de euros para ciberseguridad.

Pero ¿cómo puede robustecerse ese escudo español contra los ciberataques? ¿Está segura España en el ciberespacio? ¿Qué estrategia proponen los distintas fuerzas políticas? ¿Debe ponerse sobre la mesa la disyuntiva libertad-seguridad?

Muchas preguntas, pero quizá hay que partir de la más básica. Una fotografía general de cuál es el nivel de ciberseguridad que tiene España. Antes de eso, no obstante, un apunte. "España se encuentra siempre entre los países más atacados del mundo, a veces solo por detrás de Estados Unidos y Japón". Son palabras de Francisco Valencia, CEO de Secure&IT.

En conversación con este medio, explica que España reúne dos características que lo convierten en una víctima extraordinariamente interesante. "Por una parte, se entiende que España es un país que, por algunas razones, puede ser un agente desestabilizante de la Unión Europea y, por otra, el nuestro es un país que opera en prácticamente todos los mercados internacionales, incluidos el latinoamericano y el asiático".

En el Congreso se han registrado más de 180 iniciativas sobre ciberseguridad

Por lo tanto, España es un país goloso para los grandes intereses que suelen perseguir los ciberataques: los políticos y los económicos. Y eso convierte a nuestro país en uno de los más amenazados. "España", completa Valencia, "tiene información porque está en el G20 y dinero porque está en todos los mercados". Necesita, por lo tanto, un sistema competente para repeler todos esos ciberataques.

Y lo cierto es que, de acuerdo con el propio Francisco Valencia, con el Gobierno y con los diputados consultados, España tiene una protección competente en materia de ciberseguridad, pero necesita más. Según Valencia, "España es la duodécima o la decimotercera potencia del mundo a nivel de protección contra los ciberataques, pero está entre las que más recibe". 

"Por lo tanto, somos un país más vulnerable que otros", zanja. Por eso el Gobierno está aumentando la inversión y por eso en el Congreso los grupos parlamentarios están recibiendo a expertos en la materia para elaborar una serie de propuestas de cara a finales de 2025 o principios de 2026. Es la fecha aproximada que pone Víctor Javier Ruiz de Diego, el portavoz socialista en la ponencia encargada de ello.

Los cuatro campos en los que tiene que avanzar España para aumentar su nivel de protección son, según Tesh Sidi, diputada de Más Madrid dentro de coalición de Sumar y también miembro de dicha ponencia, "la regulación, la educación, la innovación y la cooperación internacional". 

Tesh Sidi: "La regulación, la educación, la innovación y la cooperación internacional son los campos en los que más hay que avanzar"

Sidi, con amplia experiencia en la materia, habla de la importancia de reforzar organismos como el INCIBE y el CCN-CERT, además de "actualizar leyes para hacer frente a las nuevas amenazas". Sobre todo, habla de los ciberataques diseñados con inteligencia artificial. De hecho, insiste en que "la situación empeorará con el avance de la IA".

Sidi y Valencia coinciden en algo relevante. Más allá de ampliar la legislación por los flancos necesarios, hay que profundizar en la concienciación. "Se deben incluir contenidos de ciber en escuelas e institutos, además de impulsar grados universitarios y cursos técnicos especializados", explica Sidi. Hay países como Estonia o Israel que ya lo hacen.

Además, subraya que la falta de recursos y de esa concienciación en las empresas más pequeñas —algo que también se puede aplicar a las instituciones— hace que muchas veces sean las más vulnerables. También ahí habría que incidir. "Las pymes", prosigue, "podrían beneficiarse de auditorías subvencionadas, formación gratuita y guías". Además, abrocha, "España debería financiar a startups de ciberseguridad".

El diputado de Esquerra Republicana Francesc-Marc Álvaro, que también es uno de los miembros de la ponencia sobre las amenazas en el ciberespacio de la Comisión Mixta sobre Seguridad Nacional, pone sobre la mesa precisamente el que para los republicanos es el gran elefante en la habitación. "Tiene que haber un equilibrio entre derechos y libertades, por un lado, y seguridad, por otro", explica en conversación con Público.

Relacionado con este tema

El Gobierno refuerza la ciberseguridad y ciberdefensa con una inversión de 1.157 millones

Miguel Muñoz

Francesc-Marc Álvaro: "Toda la política ciber tiene que pasar por lo público y por el interés general"

Se refiere a que no se pueden "colocar innumerables restricciones" a las libertades en aras de blindar la ciberseguridad. Es un punto con el que coincide el socialista Ruiz de Diego, que deja claro, por una parte, que el Gobierno ya está trabajando para fortalecer el blindaje de España en el ciberespacio, pero además coincide con el diputado de ERC en que una de las patas fundamentales del avance en esta materia tiene que ser la protección de las libertades de los ciudadanos.

Álvaro añade una cuestión más. "Toda la política ciber tiene que pasar por lo público y por el interés general". "Nosotros", continúa, "estamos en contra de la privatización de la ciberseguridad, que es una esfera a medio camino entre lo civil y lo militar". Insiste, además, en que el papel del Congreso para garantizar que no se violentan los derechos de los ciudadanos, también si son empresas privadas las que se encargan de la ciberseguridad, tiene que ser central. "En la actualidad, hay materias de gran importancia en las que se deja al Congreso de lado y eso no puede ser". Para Álvaro, es fundamental que la Cámara Baja ejerza de árbitro en materia de ciberseguridad: "Tiene que haber un control de los operadores privados. No somos la América de Trump, somos la Unión Europea".

Sidi completa esa idea. La diputada de Más Madrid apunta que cualquier instrumento en este campo con el que cuente el Estado tiene que emitir "informes transparentes e independientes". ¿Cómo se consigue eso? "Por ejemplo, asegurándonos de que hay personal profesional e independiente en el liderazgo del INCIBE", institución, como otras, que tiene que pasar "auditorías periódicas" y "emitir informes para su debate en el Congreso de los Diputados".

Los distintos diputados destacan que el Congreso tiene que tener un papel central a la hora de controlar a las empresas de ciberseguridad

También el BNG defiende esa posición. "El Congreso debe ejercer un control firme y constante sobre las actuaciones del Ejecutivo en el ámbito digital", afirman. De todos modos, ponen sobre la mesa dos elementos distintos. Por una parte, advierten de que trabajarán para que el Ejecutivo no "aproveche esto para apuntalar la doctrina del shock y conseguir un apoyo social que hoy no tiene para su plan de rearme". Por otra, hablan de la necesidad de que las estrategias de ciberseguridad no sean centralistas y que se permita a territorios como Galicia desarrollar sus propias capacidades con recursos suficientes.

Los 1.157 millones que ha anunciado el Gobierno

Todo eso son líneas estratégicas a medio y largo plazo que plantean los grupos, acompañadas de sus preocupaciones y precauciones. Por el momento, lo que está ya aprobado en Consejo de Ministros es un plan de 1.157 millones de euros para reforzar la ciberseguridad en España. Eso es, hoy por hoy, lo tangible. El Ministerio de Derechos Sociales, Consumo y Agenda 2030 ha detallado de forma más o menos pormenorizada a dónde va a ir destinada dicha partida.

Fundamentalmente, desde la cartera que lidera Óscar López explican que se impulsará el Centro de operaciones de seguridad 5G (SOC 5G), que "realiza el seguimiento, control y supervisión de las normativas y regulaciones en materia de ciberseguridad 5G" y que se integrarán en el Plan Nacional de Ciberseguridad "técnicas avanzadas de IA en los sistemas para la detección de ciberataques". También se "mejorará la coordinación de la respuesta de los Centros de Operaciones de Ciberseguridad públicos y privados", se avanzará en el sistema de alertas tempranas y se profundizará en la colaboración con los centros universitarios.

Relacionado con este tema

¿Qué sabe el Gobierno y qué no del apagón? La investigación continúa una semana después

Miguel Muñoz

Las distintas fuentes consultadas, con todo, coinciden en que en muchas ocasiones los buenos corren más que los malos, pero en que en ningún caso hay que renunciar a darles caza. La escritora Samantha Harvey se pregunta en Orbital (Anagrama, 2025) si el progreso es "una cosa bonita". La respuesta en un primer momento es drástica. "Sí". Pero luego se pregunta: "¿Y la bomba atómica?". Muy a menudo los malos llegan antes que los buenos y tienen más capacidad de hacer daño; de buscar el punto débil. Es tan complejo tapar todas las grietas porque hay gente ahí fuera trabajando para encontrarlas, cuando no para abrir nuevas.