Un informe del Congreso aconseja coordinar los organismos de ciberseguridad para evitar "dispersión" y "duplicidades"

Recomienda reformas legales para tener un marco común y priorizar la soberanía tecnológica para no depender de otros países

España dispone de capacidades "relevantes" en materia de ciberseguridad, tanto en el ámbito público como en el privado, pero están "dispersas" y "con distintos niveles de madurez", y su coexistencia genera "solapamientos, duplicidades e ineficiencias", según concluye el borrador de informe que se debatirá en la Comisión Mixta (Congreso-Senado) de Seguridad Nacional.

El informe, al que ha tenido acceso Europa Press y que este martes se perfilará a puerta cerrada en la ponencia designada por la comisión, refleja un diagnóstico compartido por representantes de las Fuerzas Armadas, Fuerzas y Cuerpos de Seguridad del Estado, Administración Pública, sector privado, ámbito académico, operadores tecnológicos y sociedad civil.

Apunta también a que los múltiples actores con competencias en ciberseguridad --Centro Criptológico Nacional (CCN), INCIBE, Mando Conjunto del Ciberespacio, fuerzas policiales, administraciones territoriales y operadores privados-- dependen de marcos sectoriales o territoriales y carecen de una visión "plenamente integrada".

Así, a pesar de los "avances significativos" que reconoce el trabajo, se generan "solapamientos, duplicidades, ineficiencias, asimetrías territoriales y dificultades para obtener una visión integrada del riesgo y de la respuesta".

Por lo tanto, recomienda reforzar la coordinación y avanzar hacia un marco común, tanto en términos estratégicos como operativos. En concreto, habla de "articular mecanismos estables de cooperación interinstitucional, armonizar criterios entre niveles administrativos y consolidar espacios de colaboración público-privada que permitan compartir información, capacidades y buenas prácticas".

UNA AMENAZA COYUNTURAL
El informe señala a las amenazas digitales como "fenómenos estructurales" que afectan de forma simultánea a infraestructuras críticas, administraciones públicas, empresas y ciudadanos. Es decir, ya no pueden percibirse como incidentes aislados.

Para muestra, los más de 100.000 incidentes gestionados por el CCN en el sector público, los 83.000 incidentes en el sector privado o el incremento del 14,5% en los procedimientos judiciales por ciberdelitos en 2024. Estos datos "evidencian que la amenaza no es coyuntural, sino estructural y en expansión", recalca el trabajo.

En este contexto, el borrador de informe de la Comisión Mixta de Seguridad Nacional ubica como prioridad estratégica la soberanía tecnológica, entendida no sólo como autonomía industrial, sino como capacidad de control, decisión y resiliencia sobre las tecnologías críticas que sustentan la seguridad digital.

De hecho, los expertos que comparecieron en la comisión y cuyos datos han servido para elaborar el trabajo alertaron sobre la "elevada" dependiencia de proveedores y tecnologías no europeas, especialmente en ámbitos clave como la ciberseguridad, las comunicaciones, la Inteligencia Artificial o la computación cuántica, aunque no concretan ningún Estado.

Pero la dependencia fue identificada por los expertos como un "factor de vulnerabilidad" en un contexto de tensiones geopolíticas y de utilización del ciberespacio como instrumento de presión. En esta línea, insisten en la necesidad de impulsar una base tecnológica propia, fomentar la industria nacional y europea y alinear las decisiones de inversión, contratación pública y regulación con objetivos de seguridad y soberanía, así como de garantizar el control sobre datos, sistemas y cadenas de suministro, sobre todo en sectores críticos y en la Administración Pública.

FINANCIACIÓN ESTABLE
Asimismo, el informe destaca la "insuficiencia" del marco jurídico-normativo actual para abordar algunas de las formas más recientes y sofisticadas de ciberdelincuencia.

Alega que la Fiscalía General del Estado y otros comparecientes señalaron las limitaciones del Código Penal actual para abordar fenómenos como el 'crime as a service' (ciberdelincuentas venden o alquilan herramientas o infraestructuas para perpetrar ataques), las estafas complejas, el uso de criptomonedas o determinadas conductas facilitadas por la IA.

En paralelo, subrayaron la importancia de reforzar las capacidades policiales y judiciales, tanto en medios técnicos como en formación especializada, para garantizar una persecución eficaz de estos delitos en un entorno transnacional.

Además, aluden a la necesidad de un modelo de financiación estable o de "financiación basal" que permita sostener en el tiempo las capacidades de ciberseguridad, tanto en el sector público como en los ecosistemas de innovación, formación e investigación. Varios expertos coinciden en que las inversiones puntuales o ligadas a programas temporales no son suficientes para afrontar amenazas permanentes y en constante evolución, según el informe.

Por último, apuntan la "urgencia" de reforzar la protección del ciudadano como eje central de las políticas de ciberseguridad: mejorar la atención a las víctimas, reducir las barreras a la denuncia, reforzar la formación y la concienciación y garantizar que el desarrollo tecnológico se acompaña de salvaguardas efectivas de los derechos fundamentales.