Ciberseguridad en las AAPP: bajo asedio constante y en busca de resiliencia operativa

La ciberseguridad en las AAPP españolas atraviesa una fase de exposición máxima: el volumen y la sofisticación de los ataques crecen más rápido que la capacidad operativa para contenerlos, pero la inversión en marcos como el ENS, la Estrategia España Digital 2026 y el Plan Nacional de Ciberseguridad empieza a consolidar una base más madura.

Por eso, no es de extrañar que los responsables tecnológicos del sector público se muevan en una tensión permanente entre resiliencia, cumplimiento regulatorio, escasez de talento y presión presupuestaria, mientras los atacantes convierten a la administración en uno de sus objetivos preferentes.

Ciberseguridad en las AAPP: un sector en el centro del tablero

En pocos años, la administración pública ha pasado de ser un objetivo secundario a situarse en el foco de la ciberdelincuencia en Europa y en España. La Agencia de la Unión Europea para la Ciberseguridad (ENISA) estima que cerca del 38% de los ciberincidentes registrados en 2024 en la UE afectaron a organismos públicos, y el Centro Criptológico Nacional (CCN-CERT) sitúa en torno al 34% la proporción de ataques dirigidos al sector público en España, con más de 100.000 incidentes anuales y crecimientos de casi el 190% respecto al año anterior.

Esta presión se traduce en una sucesión de incidentes visibles que han dejado al descubierto debilidades estructurales: desde campañas coordinadas de denegación de servicio contra diputaciones y ayuntamientos hasta ataques de ransomware que han paralizado durante días consistorios como Badajoz, Melilla o otros municipios de tamaño medio, obligando a suspender trámites, cerrar sedes electrónicas y limitar la atención ciudadana. “Lo primero que debería asumir la Administración Pública es que, en algún momento, sí o sí, se dará una circunstancia en la que la seguridad se verá amenazada por un ataque de ransomware o por cualquier otra incidencia”, subraya Alejandro Rebolledo, Consulting Solutions Engineer de NetApp para España y Portugal.

La administración se ha dotado en paralelo de un armazón regulatorio singularmente exigente: el Esquema Nacional de Seguridad (ENS), actualizado por el Real Decreto 311/2022, ya incorpora muchos de los requisitos de la Directiva NIS2 y obliga no solo a las administraciones de todos los niveles, sino también a sus proveedores tecnológicos. Sin embargo, en palabras de Eduardo Montero Remesal, Fortinet System Engineer Manager para Sector Público, “creer que basta con cumplir la normativa mediante un check puntual, sin tener sólidos protocolos de prevención y respuesta, y alimentar, configurar y operar adecuadamente los productos y servicios desplegados, conduce inevitablemente a problemas de seguridad”

Del “check” normativo a la resiliencia operacional

Los expertos coinciden en que el gran salto pendiente no es tanto regulatorio como operacional.

Es cierto que el sector público español ha avanzado en marcos, guías y certificaciones, pero sigue arrastrando un déficit de capacidad real para detectar, contener y recuperarse de los incidentes con la rapidez que exige el entorno actual. “En la actualidad, la principal brecha no es tecnológica, sino de capacidad operativa”, advierte Rebolledo, que apunta a un exceso de tareas manuales, herramientas aisladas y falta de centralización que sobrecarga a unos equipos de seguridad limitados y fragmenta la visión sobre el dato.

Montero incide en esa idea desde otra perspectiva: el problema no es la falta de soluciones, sino de gestión y de talento capaz de sacarles partido. “En el momento actual, la principal brecha en la ciberseguridad de las Administraciones Públicas españolas se encuentra en el talento especializado, más que en la tecnología disponible”, sostiene, reclamando una formación técnica sostenida para los funcionarios que gestionan entornos híbridos y una gobernanza más estratégica del ecosistema tecnológico para evitar solapamientos y herramientas infrautilizadas.

La visión de César Deza, director de Desarrollo de Negocio para Sector Público en Palo Alto Networks España, es que “las organizaciones del sector público afrontan el doble desafío de asegurar la protección y, a la vez, de mejorar la eficiencia en un contexto de crecientes ciberamenazas” y, para ello, “necesitan dejar atrás la fragmentación tecnológica y apostar por la plataformización”. Frente a modelos basados en decenas de soluciones inconexas, Deza defiende arquitecturas unificadas capaces de reducir el “ruido” operativo, simplificar la gestión y cerrar los puntos ciegos que hoy explotan los atacantes.

Riesgos en aumento: del ransomware a la superficie de ataque extendida

La estadística y los casos recientes muestran una combinación de riesgos donde el ransomware actúa como vector estrella, pero no el único. Ayuntamientos y diputaciones han sufrido cifrados masivos de sistemas que han afectado a la tramitación de expedientes, al registro electrónico y a la recaudación, mientras proliferan las campañas de denegación de servicio distribuida (DDoS) lanzadas por grupos hacktivistas, en ocasiones vinculados a conflictos geopolíticos.

De hecho, El sector gubernamental ha concentrado gran parte de los incidentes, con especial protagonismo de los ataques de denegación de servicio lanzados por el grupo de hacktivistas prorruso NoName057 al menos durante la primera mitad de 2025, que también detalla ataques de ransomware a ayuntamientos como Melilla o la Vila Joiosa.

A esta presión se suma la ampliación de la superficie de ataque asociada a la digitalización acelerada de los servicios públicos, la extensión del trabajo híbrido y la adopción de infraestructuras en la nube. Los sistemas legacy conviven con entornos multicloud y aplicaciones SaaS, lo que complica la aplicación homogénea de controles de seguridad y multiplica los posibles vectores de entrada.

Deza insiste en que “una de las principales brechas en la seguridad en el Sector Público está representada por la falta de agilidad en la detección y la respuesta a incidentes, debido a que muchos de estos organismos siguen añadiendo tecnologías de seguridad sobre infraestructuras tecnológicas legacy”, y reclama facilitar la seguridad nativa en la nube y capacidades de inspección del tráfico cifrado en tiempo real.

El dato, mientras tanto, se ha convertido en el auténtico campo de batalla. La irrupción de la inteligencia artificial, tanto en manos defensivas como ofensivas, agrava el riesgo de filtraciones, manipulación de información y explotación de datos sensibles. “Otra brecha importante para la seguridad en la Administración es la gobernanza del dato”, alerta Rebolledo, que apunta a la necesidad de mapear, clasificar y contextualizar la información (incluyendo datos personales identificables) con apoyo de IA, machine learning y procesamiento de lenguaje natural para evitar la “gobernanza a ciegas” y dar respuesta a obligaciones regulatorias como GDPR o ENS.

El reto de coordinar un escudo distribuido

La respuesta del Estado y de las comunidades autónomas ha incluido la puesta en marcha de un Centro de Operaciones de Ciberseguridad (SOC) para la Administración General del Estado, así como la creación de SOC autonómicos y la Red Nacional de SOC pilotada por el CCN-CERT. Este entramado pretende coordinar la defensa de un mosaico de miles de organismos, desde ministerios hasta pequeños ayuntamientos, pasando por entes instrumentales y empresas públicas.

Montero considera que “el impulso del Centro de Operaciones de Ciberseguridad de la Administración General del Estado, junto con los SOC autonómicos y locales, es un acierto estratégico, especialmente en la medida en que la AGE asume un papel de liderazgo y coordinación del conjunto del ecosistema”. Propone un modelo escalonado en el que las entidades locales dispongan, al menos, de un “SOC de Nivel 1” capaz de monitorizar, detectar anomalías y escalar incidentes cualificados a los SOC nacionales, que aportarían inteligencia avanzada y coordinación.

Deza, por su parte, ve margen para profundizar esa coordinación con una aproximación “API-first y en tiempo real”, donde la detección de una amenaza en cualquier punto del “escudo cibernético español” se traduzca en una distribución automática y casi instantánea de esa inteligencia al resto de la red, actualizando políticas en milisegundos. “Ya existe una Red Nacional de SOC impulsada por el CCN-CERT para interconectar la ciberdefensa del sector público, y el sector privado puede complementar esos esfuerzos con sus capacidades operativas y tecnología innovadora”, sostiene.

En este esquema, la colaboración público–privada deja de ser un eslogan para convertirse en una necesidad operativa. “Las AAPP presentan grandes dificultades para enfrentarse solas a un entorno de amenazas tan dinámico, por lo que la colaboración público–privada es fundamental”, afirma Deza, que aboga por considerar a los proveedores como “aliados estratégicos y habilitadores de tecnología e inteligencia”, con modelos de cogestión y equipos mixtos que permitan la transferencia continuada de conocimiento. Montero coincide en que “el modelo más eficaz es aquel en el que la AGE lidera y coordina, los SOC autonómicos y locales participan activamente y las empresas privadas acompañan, refuerzan y especializan, construyendo juntos un sistema progresivo, realista y sostenible”.

Talento, gobernanza y cultura siguen siendo los principales desafíos

Más allá de las soluciones tecnológicas, los especialistas consultados sitúan el talento, la gobernanza y la cultura organizativa como los grandes ejes de transformación pendientes.

La Estrategia Nacional de Ciberseguridad plantea un incremento notable del número de expertos, pero la brecha entre oferta y demanda se mantiene, especialmente en el sector público, donde los esquemas retributivos y de carrera compiten en desventaja frente a la empresa privada.

Por eso, “resulta fundamental reforzar la formación técnica de los funcionarios, especialmente de aquellos que tienen responsabilidades de coordinación y gestión de entornos híbridos”, insiste Montero, que subraya la importancia de modelos híbridos donde perfiles especializados trabajen desde el sector privado en proyectos públicos de forma estable y alineada con los objetivos de la Administración. Deza va más allá y recuerda que “los profesionales en ciberseguridad jóvenes quieren trabajar con las mejores herramientas y las tecnologías más punteras, en un entorno que no está planteado para el mantenimiento sino para innovar y aportar valor”, lo que obliga a transformar los SOC públicos en “hubs de innovación” si se quiere atraer y retener talento.

La gobernanza del dato y de las propias relaciones con los proveedores aparece como otro punto crítico. La combinación de marcos como GDPR, ENS, NIS2 o el secreto administrativo, junto con una cierta aversión al riesgo y a la exposición reputacional, tiende a generar silos tecnológicos y organizativos que dificultan la compartición de información sobre amenazas.

“En realidad, se trata de una combinación de barreras normativas, contractuales, técnicas y culturales, que se refuerzan entre sí”, señala Montero, que defiende modelos de transparencia responsable y colaboración con investigadores, consultores y otros proveedores para romper esas inercias.

Deza coincide en que “los marcos contractuales deben dejar de penalizar la transparencia” y plantea avanzar hacia esquemas de responsabilidad compartida donde el intercambio ágil de información sobre una brecha activa se entienda como parte de la defensa colectiva, no como una admisión de culpa. Rebolledo añade un elemento clave: sin una clasificación adecuada del dato y sin herramientas que permitan generar informes de riesgo y cumplimiento, compartir indicadores sin exponer información sensible se vuelve extremadamente complejo, lo que alimenta aún más la cultura del silencio.

Tecnologías prioritarias y hoja de ruta hasta 2026

En cuanto a las tecnologías prioritarias que deberían guiar las licitaciones públicas en los próximos años, las posiciones convergen en torno a algunos pilares: Zero Trust, segmentación, detección y respuesta avanzadas, cifrado robusto y capacidades de orquestación y automatización impulsadas por IA.

Desde la óptica del dato, Rebolledo propone “priorizar un modelo zero trust centrado en los datos y en las cargas de trabajo, además de dotarse de cifrado y de una resiliencia probada con capacidades para la recuperación de datos rápida y repetible”, incluyendo detección de anomalías, snapshots y entornos de recuperación aislados para hacer frente al ransomware.

Fortinet introduce un matiz de orden y secuencia en esa adopción. “Más que identificar tecnologías prioritarias de forma aislada, el verdadero reto para las licitaciones públicas de 2026 es definir un orden lógico y operativo de adopción”, explica Montero, que sitúa la segmentación de red, tanto en entornos IT como OT, como primer paso para limitar el movimiento lateral de los atacantes. Sobre esa base, propone avanzar hacia un modelo Zero Trust centrado en la identidad de usuarios, dispositivos y servicios, y desplegar plataformas XDR que integren EDR, NDR y la automatización de SIEM y SOAR, reservando al cifrado avanzado (incluida la preparación post-cuántica) un papel de mejora continua.

Deza, por su parte, destaca la evolución hacia XDR y XSIAM como enfoque que va “más allá del esquema XDR tradicional”, correlacionando telemetría de endpoints, red, nube e identidad, y subraya la importancia de la microsegmentación basada en identidad para evitar que la compromisión de una oficina municipal se convierta en una puerta de entrada al resto de la red regional o estatal. Para manejar el volumen creciente de amenazas, aboga por “impulsar la automatización de los SOCs con la ayuda de la inteligencia artificial” y cita casos en los que se ha logrado automatizar hasta el 90% de las tareas de los analistas de nivel 1 y 2, liberando al personal especializado para funciones de mayor valor.

En el marco de España Digital 2026 y del Plan Nacional de Ciberseguridad, estas propuestas encajan con la apuesta institucional por reforzar la capacidad operacional del Estado en ciberseguridad, impulsar la Red Nacional de SOC y consolidar a España como hub europeo en este ámbito. El Esquema Nacional de Seguridad, alineado con NIS2, marca el listón normativo, mientras la futura Ley NIS2 en España reforzará mecanismos de coordinación como el Centro Nacional de Ciberseguridad y los CSIRT nacionales.

Comparación con la empresa privada y con otros países

Aunque las comparaciones siempre son odiosas, podemos decir que, en términos de nivel de madurez, las administraciones públicas españolas se encuentran en una situación ambivalente frente al sector privado y frente a otros países europeos.

Por un lado, cuentan con un marco regulatorio más exigente que muchas empresas, con el ENS obligando a aplicar controles avanzados de seguridad a cualquier organismo público y a sus proveedores, y con estructuras como el CCN-CERT y la Red Nacional de SOC que no siempre tienen equivalentes directos en otros estados. Por otro, sufren con más intensidad las limitaciones presupuestarias, la rigidez de los procesos de compra, la dependencia de sistemas legacy y el déficit de perfiles especializados, lo que dilata la ejecución de proyectos y complica la adopción rápida de nuevas tecnologías.

Los informes públicos subrayan que, mientras algunos sectores privados (como el financiero o partes del sanitario) se sitúan entre los más avanzados en ciberseguridad y han acelerado sus inversiones en respuesta al aumento del ransomware, buena parte del tejido empresarial español sigue en niveles de madurez medios o bajos, especialmente entre pymes. La administración, en cambio, se ve obligada a mantener un estándar mínimo homogéneo por mandato legal, lo que la coloca en una posición relativamente más robusta en ciertos ámbitos de cumplimiento, pero más expuesta mediáticamente cuando se producen fallos.

A nivel europeo, la participación de España en iniciativas de ciberdefensa en el marco de la OTAN y la UE está abriendo oportunidades tanto para las administraciones como para las empresas que trabajan con ellas. “La creciente implicación de España en los marcos de ciberdefensa de la OTAN y de la UE representa una gran oportunidad para las empresas que ya trabajamos con la Administración española”, afirma Deza, que destaca cómo estos proyectos elevan el nivel de exigencia, impulsan arquitecturas alineadas con estándares internacionales y abren la puerta a consorcios europeos. Montero coincide en que “el ecosistema español de AAPP actúa hoy como entorno de validación y madurez para soluciones que, cuando están bien diseñadas y operadas, pueden escalar hacia marcos comunitarios, de defensa y de resiliencia, tanto en el contexto europeo como en el internacional”.

En ese sentido, informes gubernamentales recientes describen a España como un candidato a hub de ciberseguridad europeo, apoyado en la combinación de capacidades de INCIBE, CCN-CERT, la red de SOC, el tejido empresarial especializado y el empuje de la regulación. Sin embargo, también advierten de que la brecha de talento y la necesidad de mayores inversiones en resiliencia (especialmente en el ámbito local y en infraestructuras críticas) siguen siendo factores de riesgo que pueden lastrar esa aspiración si no se abordan con rapidez y continuidad.

En conjunto, la fotografía de la seguridad en las administraciones públicas españolas muestra un ecosistema sometido a una presión de amenazas creciente, con una arquitectura institucional avanzada y un tejido tecnológico potente, pero que aún necesita traducir el cumplimiento normativo en capacidades operativas homogéneas en todos los niveles de la Administración. Las administraciones se ven empujadas a madurar al mismo ritmo que se digitalizan los servicios y se multiplica la exposición, y el sector privado se consolida como socio imprescindible para cerrar la brecha entre lo que exige la norma y lo que permite la operación diaria en la trinchera.