Ciberseguridad en la Administración Pública: entre el recelo a la nube, la fuga de talento y la falta de concienciación

Los desafíos a los que se enfrentan las entidades públicas para proteger sus infraestructuras y, sobre todo, los datos de los ciudadanos son muy complejos, tal y como quedó patente durante un encuentro ejecutivo de la Comunidad ByTIC celebrado de la mano de Vodafone.

La conversación puso de relieve una tensión creciente entre la dependencia de grandes proveedores tecnológicos extranjeros, la necesidad de controlar los costes, la apuesta por una soberanía del dato “made in Spain” y una persistente falta de cultura de ciberseguridad que lastra cualquier avance técnico.

Ajustarse al ENS mientras llega NIS2

Luis Samper, CISO de la Casa Real, resumió bien el punto de partida de muchas organizaciones públicas: todavía en plena adecuación al Esquema Nacional de Seguridad, con la vista puesta en la transposición de NIS2 y con estructuras que no siempre acompañan. Explicó que su organización está “en pleno proceso de adecuación al esquema nacional de seguridad”, aspirando a un nivel medio porque “si empiezas de cero al alto, olvídate”. Subrayó que el principal problema no es tanto técnico como organizativo y que el cambio generacional en los equipos ha ayudado a que al menos “lo del esquema nacional de seguridad les suene”.

En paralelo, José Andrés Jiménez, jefe del Departamento de Asesoramiento Técnico TIC en el Congreso de los Diputados, aportó la perspectiva de quien ve desde dentro cómo se tramita NIS2. Recordó que la directiva “se está tramitando en el Congreso” y que los tiempos legislativos están condicionados por una “mayoría extremadamente ajustada”, de forma que empujar normas técnicas sin rédito político claro resulta complicado. Aun así, percibe “voluntad de que esto se transponga lo antes posible”.

Jiménez llamó la atención sobre algo que planea sobre toda la conversación: la explosión normativa que afecta al ámbito TIC va mucho más allá de la ciberseguridad. A cuestiones como contratación, protección de datos o inteligencia artificial se suman nuevas obligaciones, generando lo que describió como “un cúmulo” que puede acabar exigiendo “algún tipo de figura” especializada que ayude a gestionar todo ese entramado más allá del asesor jurídico tradicional.

Este marco normativo se convierte en palanca de cambio, pero también en límite. Según Samper, la propia existencia del ENS, de la amenaza sancionadora y de figuras como el CISO debería servir “para meter miedo a los CEOs o responsables de unidad”, pero reconoció que, en su caso, esa responsabilidad “no se cumple” en la práctica. Para Jiménez, la clave es que la carga no se quede “en tierra de nadie” y que los informáticos dejen de ser los únicos que pagan las consecuencias de decisiones que son esencialmente organizativas y políticas.

IA, shadow IT y el filo de la innovación

Sobre esa base regulatoria se está intentando incorporar la inteligencia artificial al funcionamiento cotidiano de las instituciones. Jiménez admitió que, con el tipo de información que maneja un parlamento, la IA “puede ayudarnos mucho”, pero también la definió como una de las tecnologías “con más filos cortantes” con las que las administraciones pueden acabar “dándose un tajo”. El principal problema no es tanto la tecnología en sí como el punto de partida: la IA corporativa irrumpe en un contexto de “shadow IT” generalizado en el que “todo el mundo ya la está utilizando, está cogiendo los datos corporativos y subiéndolos a nubes norteamericanas o chinas”.

Esa realidad obliga a ordenar a posteriori algo que no ha crecido de forma progresiva, sino “partiendo del caos absoluto”. Cuando intentan introducir “cortapisas” surgen fricciones, porque se pasa de una libertad total (“tengo aquí el chat GPT”) a un escenario en el que se exigen controles, trazabilidad y garantías.

Juan Luis Vicente, responsable de la Agencia Tributaria, añadió un matiz político y estratégico a este debate: Europa “empezó legislando antes que desarrollando”, de modo que si se regula demasiado pronto se corre el riesgo de “limitar el desarrollo sin saber realmente su potencial” o, al contrario, quedarse atrás frente a terceros. A esto sumó la “hiperdependencia de la tecnología extranjera”, especialmente norteamericana, que convive con un discurso de soberanía digital que luego no se traduce en apoyar tecnologías nacionales.

Sobre la mesa apareció de forma recurrente la tensión entre soberanía y dependencia tecnológica. Vicente fue directo: “se nos llena la boca con el discurso de soberanía digital nacional y europea” pero, cuando se plantean alternativas españolas solventes, muchas administraciones “no quieren apoyarlo” y prefieren “los Ferraris norteamericanos o británicos” financiados con fondos europeos.

Fuenlabrada: comité mixto, cultura de ciber y datos 360

Frente a un panorama a menudo dominado por la urgencia y los parches, la experiencia del Ayuntamiento de Fuenlabrada introdujo un enfoque más estructural. Pilar Aránzazu Herráez, directora general de Innovación y Transformación Digital del Ayuntamiento de Fuenlabrada, explicó que en su municipio se ha creado “un comité mixto de privacidad y seguridad” para garantizar que “no hay transformación digital sin ciber”. Ella misma ejerce como directora de innovación y delegada de protección de datos, concentrando funciones que facilitan la coherencia de las decisiones siempre que se eviten incompatibilidades.

Herráez insistió en la necesidad de que la ciberseguridad forme parte de la estructura de la administración y no se externalice al cien por cien. Defendió que la administración pública “tiene que tener el compromiso de tener estructuralmente la ciberseguridad”, con figuras internas como el responsable de seguridad, responsable del sistema o delegada de protección de datos incluidas en la RPT. Solo así, apuntó, se genera una cultura de ciber que implica a las unidades finalistas.

Ese enfoque se basa en una conciencia clara del valor del dato. Herráez recordó que entidades como la suya son especialmente atractivas para los atacantes porque disponen de “datos 360” de la ciudadanía: tributarios, de servicios, de convivencia, etcétera. Y precisamente por eso les preocupa combinar un SOC en nube con la posibilidad de mantener “la parte del dato on premise”, especialmente ante la irrupción de tecnologías disruptivas como la IA.

La directora detalló, además, el riesgo de una “hipoteca digital” cuando se trasladan servicios a la nube sin una planificación realista de costes. Relató que, al analizar el coste exponencial de determinados servicios cloud, han comprobado que dificultan la planificación presupuestaria y les restan margen para decidir dónde ubicar el dato. Puso un ejemplo muy concreto: si el padrón está en la nube y solo se accede a él mediante un API que responde “empadronado sí o no”, esa arquitectura puede valer para un trámite, pero no para explotar los datos con IA de forma avanzada.

La ciudad como red sensórica y el nuevo perímetro

Otro de los puntos que Herráez subrayó es que el perímetro digital de una ciudad ya no se limita a la sede electrónica. Recordó que el primer real decreto del ENS se refería “al ámbito de la administración electrónica”, pero que ahora las ciudades son entornos digitales llenos de sensores, cámaras y sistemas conectados. Eso implica trabajar con “información comportamental” de los ciudadanos, como los datos que pueden desprenderse de un sistema de recogida selectiva que registre a qué hora baja cada persona la basura.

En su opinión, ese tipo de datos “es tan importante de proteger” como los que se gestionan en trámites administrativos clásicos, pero los pliegos de contratación de muchos proyectos de ciudad inteligente siguen siendo redactados principalmente por las unidades finalistas, sin suficiente supervisión de los servicios de tecnología. Explicó que, en su consistorio, han conseguido que cualquier pliego con tecnología pase por el servicio TIC, pero reconoció que “esto es muy reciente” y que antes podían encontrarse “cámaras con una tarjeta dentro” de la que cualquiera podía llevarse las grabaciones con una escalera.

Esta ampliación del perímetro digital se conecta con el debate sobre la transparencia y el daño reputacional en caso de ciberataque. Herráez relató cómo, en jornadas sectoriales, técnicos de ayuntamientos como Elche rompieron a llorar al explicar el impacto de un incidente grave, lo que demuestra que el daño no solo es económico o reputacional, sino también humano. Planteó incluso si no sería útil hacer públicos los costes de restauración tras un ataque para disponer de argumentos sólidos cuando se pide más presupuesto o más recursos.

El caso SEPE y el coste de una semana en papel

El ataque al SEPE fue uno de los ejemplos que vertebró el debate. Raúl Martín, subdirector general adjunto TIC del organismo, recordó que todas las oficinas estuvieron “una semana tirando de papel”, mientras que otros servicios tardaron todavía más en recuperarse. Aunque el resultado fue “razonablemente bueno” en términos de continuidad, el episodio evidenció tanto la fragilidad de las infraestructuras como la importancia de los planes de contingencia.

Desde el lado de los proveedores, aquel ataque dejó también la sensación de haber sido “un punto de inflexión”. José Manuel Ávalos, responsable de Soluciones de Ciberseguridad para Administraciones Públicas de Vodafone Business, explicó que, a raíz de incidentes de este tipo, muchas entidades empiezan a plantearse si están o no dentro de un ecosistema reforzado, si “es mejor estar donde hay datos compartidos de cuatro o cinco entidades” o si eso las hace más atractivas para los atacantes. Para algunos ayuntamientos pequeños, contar con un SOC centralizado puede ser un escudo, pero también una fuente de nuevas dependencias.

El coste de un ataque no se mide solo en días de servicio caído. Herráez explicó que, según le trasladaron en el CCN, un incidente grave puede suponer pérdidas de hasta “un millón de euros al día”, a lo que hay que sumar la discontinuidad en la prestación de servicios y el impacto social. De ahí que abogara por darle más visibilidad a estas cifras, siempre con cuidado de no comprometer infraestructuras críticas ni alimentar vectores de ataque.

Fondos europeos, SOC de la AGE y la duda de la continuidad

La financiación es el eje de fondo que atraviesa toda la conversación. Juan Luis Vicente, responsable de la Agencia Tributaria, lo resumió de manera contundente: “tú tienes un presupuesto limitado, no puedo invertir casi la mitad solo en medidas de ciberseguridad que no ve nadie”. En muchos casos, la adecuación al ENS ha sido posible gracias a fondos extraordinarios, como los Next Generation o los contratos centralizados de la Administración General del Estado.

Martín destacó que la adecuación al ENS del SEPE ha contado con el apoyo de uno de esos lotes centralizados, contratados por la AGE para ayudar a varios ministerios, lo que ha permitido avanzar más rápido de lo que habrían podido con fondos propios. A la vez, recordó que el SOC de la AGE ha sido una iniciativa valiosa para muchos organismos, aunque persisten dudas sobre “qué continuidad tendrá” cuando se agoten las partidas específicas.

Ávalos, que recorre comunidades autónomas y ayuntamientos, afirmó que “el mayor temor” de muchos responsables es precisamente si esos servicios “se van a seguir financiando dentro de unos años”. Explicó que no todas las entidades entran en el SOC de la AGE, que la cobertura depende del tamaño, la comunidad autónoma o el encaje con diputaciones y otras estructuras supramunicipales. A esa incertidumbre se suma el desconocimiento: hay consistorios que ni siquiera saben que pueden apoyarse en esos recursos y siguen asumiendo en solitario la carga de la ciberseguridad.

Detrás de cualquier arquitectura tecnológica hay personas cuyo papel a menudo queda invisibilizado. El debate abordó de frente la falta de perfiles especializados en ciberseguridad y la rotación dentro de la administración. Vicente explicó que, cuando llegaron los fondos Next Generation, “todo el mundo quería su SOC”, pero los perfiles realmente buenos estaban “desorbitados” y muchos responsables dudaban si podrían pagar sus salarios una vez se terminasen las ayudas.

A esto se suma una rotación interna que dificulta la continuidad. Vicente describió cómo, en muchos departamentos, un responsable de sistemas puede estar dos años y, si “no pasa nada”, es trasladado a otra unidad, donde puede no tener formación tecnológica. El conocimiento se dispersa o se pierde, y las nuevas personas llegan a sistemas complejos sin documentación suficiente porque la relación con la empresa proveedora se ha apoyado más en la confianza personal que en los procedimientos.

En paralelo, las empresas tecnológicas y de servicios juegan su propia partida. Ávalos recordó que la imposibilidad legal de hacer currículos nominales en los pliegos ha reducido la práctica del “body shopping” explícito, pero también ha generado nuevas tensiones: las administraciones describen perfiles muy específicos que después no siempre se corresponden con las personas que llegan. Cuando, unos meses después, se descubre que el perfil no encaja, revertir la situación no es sencillo.

Concienciación: del miedo al “coco” a la cultura práctica

La concienciación fue otro de los ejes de la conversación, con visiones matizadas. Samper relató cómo, en su organización, están teniendo “éxito” porque han optado por dirigirse a las estructuras, explicando qué puede ocurrir y vinculando la seguridad con su propio trabajo. Solo cuando esas áreas no técnicas comprenden el impacto real empiezan a “hacer caso”.

Ávalos fue muy crítico con el enfoque clásico de la ciberseguridad basado en el miedo. Considera que los profesionales del sector viven “de las desgracias de los demás” y que acudir a un cliente diciendo “va a venir el coco, tú verás” no es una forma saludable de construir políticas. Propuso un marco distinto: aceptar que “te van a dar la hostia”, pero trabajar para que cuando eso ocurra “tambalees poco y sigas caminando”, manteniendo la prestación de servicios esenciales.

El problema, apuntó, es que la concienciación “va por barrios” y que muchos trabajadores ven la seguridad “como cosa de informáticos”. Recordó que, durante años, la propia cultura técnica alimentó esa distancia: “nos empoderamos, somos los máquinas de la informática”, hablando un lenguaje críptico que el resto no entendía. Hoy la tarea pasa por traducir la ciberseguridad a “un lenguaje llano”, con ejemplos concretos que conecten con el día a día.

Herráez hizo un paralelismo con la protección de datos: los responsables de seguridad y de privacidad son “instrumentos para gobernar la seguridad”, pero “la responsabilidad es de la entidad”, encarnada en figuras como el alcalde presidente en un ayuntamiento. Subrayó que el delegado o delegada de protección de datos asesora, dirige, insta y hace valoraciones, pero “el juicio de valor del nivel de riesgo que se acepta es del responsable del tratamiento”. En su opinión, esta distribución de responsabilidades es clave para que la seguridad deje de ser percibida como algo exclusivamente técnico.

En la mesa también se revisó la evolución del modelo tecnológico, desde el “todo al cloud” a una situación en la que gana peso el enfoque híbrido. Roberto Lara, director de la Unidad de Negocio de Ciberseguridad de Vodafone Business, comentó que, al montar los nuevos centros de operaciones de seguridad de Vodafone en Madrid, Barcelona y Murcia, han tenido que optar por una solución cloud y otra on premise porque “nos piden mucho el on premise ya otra vez de nuevo”. Hay clientes que quieren su SOC en la nube, pero exigen que determinados datos permanezcan en suelo español y en infraestructuras físicas concretas.

Relató cómo, en la inauguración del centro de Murcia, responsables públicos valoraron especialmente que el SOC estuviera “montado sobre una infraestructura de CPDs” propia, con redundancia y capacidad para “estar tres días sin luz” gracias a baterías y grupos electrógenos. Esa combinación de resiliencia física y servicios de seguridad gestionada se ha convertido en un argumento poderoso frente a quienes desconfían de un modelo exclusivamente en la nube.

Ávalos añadió que “subcontratar la seguridad no quiere decir que subcontrates el riesgo”. Aunque se deleguen servicios a un proveedor, “alguien de dentro tiene que estar pendiente”, seguir la operativa y tomar decisiones. En su experiencia, muchos fabricantes se han ido al cloud y ahora se encuentran con administraciones que les dicen “necesito esto aquí” y no aceptan solo soluciones en nube.

Herráez, por su parte, insistió en que el coste variable del cloud puede ser “una caja de sorpresas” inasumible para la administración. En su ayuntamiento, habló de “hipoteca digital” para describir la sensación de estar atrapados en un modelo de pago creciente que impide planificar con claridad. De ahí la apuesta por mantener cierto control on premise sobre los datos más sensibles, sin renunciar a un SOC en nube que les aporte capacidades avanzadas.

Pymes, cadena de suministro y papel de las telco

Aunque el foco de la mesa eran las administraciones, la conversación derivó en el impacto que tienen las exigencias de ciberseguridad en el tejido empresarial que las rodea. Lara recordó que muchas entidades locales se apoyan en organismos autónomos y empresas públicas con “capacidad jurídicamente independiente”, lo que abre la puerta al “ataque a la cadena de suministro”. Aunque el ayuntamiento tenga un ecosistema robusto, puede estar trabajando con organizaciones con “un nivel de madurez tan pequeñito” que se conviertan en eslabones débiles.

Ante esto, Vodafone ha diseñado servicios de SOC y protección específicos para pymes, con mucha automatización y costes reducidos, orientados a “tener una seguridad al menos básica”. Lara reconoció que, al principio, pensó que este tipo de productos no llegaría a la administración, pero al trabajar con ayuntamientos pequeños ha comprobado que sus necesidades se parecen mucho a las de una pyme.

Sin embargo, la realidad muestra que no basta con ofrecer la herramienta. Lara explicó que, tras analizar el despliegue de un paquete de seguridad vendido en el marco del kit digital, descubrieron que “el 70 por ciento de las empresas” que lo habían pagado ni siquiera lo habían instalado. Ese dato les llevó a replantear su enfoque: acompañar más, forzar la instalación y aprovechar el contacto para generar ventas cruzadas, pero también, de forma indirecta, mejorar la protección mínima del tejido empresarial.

Lara defendió que las grandes operadoras pueden jugar un papel clave en la difusión de servicios de ciberseguridad porque son las únicas con llegada masiva a las pymes a través de las líneas móviles. Planteó que debería existir una estrategia desde arriba para implicar a las telco en esa labor, incluso con fórmulas de financiación específica, aunque reconoció que hace falta “un tecnólogo” en la administración que entienda el problema y articule ese mandato.

Transparencia, politización y el uso del ataque como arma

Por último, la mesa abordó el tratamiento público de los ciberincidentes. Lara señaló que, ante apagones o interrupciones de servicios críticos, una de las primeras preguntas que ya se plantean los ciudadanos es si “ha sido un ciberataque”, lo que demuestra que la conciencia del riesgo está calando. Sin embargo, también criticó que los ataques se utilicen “políticamente para machacar al contrario”, lo que desincentiva la transparencia.

Herráez coincidió en que el daño reputacional es enorme, especialmente en infraestructuras críticas o servicios esenciales, y que eso lleva a muchas entidades a ocultar información. Recordó que las autoridades de control ya obligan a notificar en función del nivel de exposición del dato y de las consecuencias, pero admitió que “da mucho pudor” hacer público el detalle. Aun así, defendió que la transparencia, bien gestionada, puede ser un aliado para convencer de que “o se pone presupuesto o no hay nada”.

En paralelo, los ponentes insistieron en que la ciberseguridad no puede seguir percibiéndose como “un tema de informáticos”. Las normas están empezando a “poner nombres y apellidos” a las responsabilidades, lo que obliga a cargos directivos y políticos a implicarse. Y aunque esa presión pueda parecer excesiva, la mesa coincidió en que, sin ella, la seguridad seguirá relegada frente a otras prioridades más visibles a corto plazo.