Congreso y Senado alertan de graves debilidades en el ámbito de la ciberseguridad en España

2026-03-24 - 14:20

Las Cortes han alertado de "graves debilidades" en el ecosistema de la ciberseguridad en España y de la dispersión y descoordinación institucional al existir varios organismos con competencias solapadas, y han incidido en la importancia de acelerar la creación del Centro Nacional de Ciberseguridad. Y así lo han plasmado en un informe que ha sido hoy aprobado por una amplia mayoría (33 votos a favor y uno en contra) en la Comisión Mixta (Congreso-Senado) de Seguridad Nacional, un documento que sintetiza las aportaciones de una veintena de expertos que han comparecido ante la ponencia que se constituyó hace quince meses para analizar las amenazas en el ciberespacio dentro del contexto de la inteligencia artificial y de la computación cuántica. El informe ha contado con el voto en contra del PNV, que ha percibido como una contradicción la apuesta por una mayor concentración de competencias y a la vez por una mayor coordinación institucional, y la abstención de Sumar, que ha criticado que se señale en el documento el origen de algunas de las principales amenazas (Rusia, China, Corea del Norte o Irán) y que no se apunte sin embargo al "gran pecador" y al "elefante en la habitación" -ha dicho su portavoz- que está desestabilizando el orden mundial (Estados Unidos). El documento recopila algunos de los riesgos críticos asociados a la ciberseguridad, como el cibercrimen organizado, el espionaje de actores estatales o la vulnerabilidad de las infraestructuras esenciales en España, y retrata cómo las amenazas digitales han dejado de ser incidentes aislados para convertirse en fenómenos estructurales que afectan simultáneamente a infraestructuras críticas, administraciones, empresas y ciudadanos, un escenario agravado por la aceleración tecnológica y la inteligencia artificial. La IA como amenaza y también como defensa En ese sentido, apunta el papel de la IA como amenaza (ha sido empleada en al menos un tercio de los procesos electorales celebrados a nivel mundial entre finales de 2023 y principios de 2024, sobre todo para campañas de desinformación y manipulación) pero también como 'defensa', ya que su uso permite reducir los tiempos que se dedican a investigar y gestionar incidentes. Durante los últimos quince meses y antes de plasmar sus aportaciones en este informe, la ponencia ha escuchado a responsables institucionales (del Instituto Nacional de Ciberseguridad o la Fiscalía del Estado); de las Fuerzas Armadas, la Policía Nacional, la Guardia Civil o la OTAN; de numerosas empresas tecnológicas (Palo Alto, IBM, Check Point) Google Cloud, CISCO o Telefónica); y representantes de asociaciones de víctimas, juristas o portavoces de colectivos que defienden la transparencia algorítmica. Han advertido, y así se recoge entre las conclusiones del informe, de la dispersión y fragmentación de competencias (Centro Criptográfico Nacional, INCIBE o Mando Conjunto del Ciberespacio) o de la urgencia de alcanzar la soberanía tecnológica, ante la vulnerabilidad estratégica derivada de la elevada dependencia de proveedores y tecnologías críticas de terceros países fuera de Europa. Las políticas de ciberseguridad, incide el documento aprobado hoy, deben situar a los ciudadanos en el centro, ya que amenazas como las estafas digitales, la suplantación de identidad, la manipulación emocional, la desinformación y la explotación sexual de menores tienen un impacto directo y cotidiano que pueden generar importantes daños psicológicos, económicos y sociales. Un marco legal insuficiente El informe considera "insuficiente" el actual Código Penal y el marco normativo para abordar las formas más sofisticadas de criminalidad digital, y que es "imprescindible" por lo tanto actualizar las leyes y reforzar las capacidades policiales y judiciales con mayor formación y recursos técnicos. Entre las recomendaciones que se recogen, la Comisión destaca la de acelerar la migración gradual hacia la 'criptografía poscuántica' para proteger sistemas críticos antes de que los ordenadores cuánticos puedan descifrar la información actual; integrar la IA de forma estratégica para detectar, analizar y automatizar la respuesta ante incidentes; simplificar las arquitecturas digitales para no depender de un único proveedor en sectores críticos; o prohibir que los contratos que afecten a la Seguridad Nacional sean adjudicados a empresas catalogadas como proveedores de alto riesgo. Las cifras recopiladas en el informe revelan que el 83,4 por ciento de los ciberdelitos corresponden a estafas digitales (phishing, fraudes de inversión o engaños afectivos); que España es el octavo país que más ciberataques recibe; que se han identificado más de 4 millones de dispositivos vulnerables en España; que el INCIBE gestionó 266.594 incidentes de ciberseguridad en 2023; o que, en el ámbito de la Administración Pública, el Centro Criptológico Nacional (CCN) gestionó más de 100.000 incidentes en 2023 y más de 177.000 en 2024. También que solo el 2% de las organizaciones españolas alcanza un nivel de madurez de preparación suficiente frente a ciberataques; que el 83 por ciento de las víctimas de 'ransomware' (secuestro de datos o cuentas) optan por pagar el rescate; que la escasez de profesionales especializados es el principal obstáculo para el 74 por ciento de las empresas; o que en 2024 se incoaron 27.547 procedimientos judiciales por ciberdelitos, lo que supone un aumento de más del 60 por ciento respecto a 2020.