¿Es suficiente la inversión del Plan Industrial y Tecnológico de Seguridad y Defensa para proteger a España ante la amenaza del ciberespacio?

Javier Saldaña Sagredo

Coronel de Ejército de Tierra (Ret.)

El reciente affaire Huawei ha vuelto a poner sobre la mesa la incertidumbre sobre si España es realmente un país seguro dentro del ciberespacio que nos rodea de forma virtual. No es la primera vez que surgen sospechas sobre la vulnerabilidad de nuestro país frente a ciberataques externos, que afectan no solo a organismos e instituciones, sino también a numerosas empresas estratégicas, tanto públicas como privadas. De hecho, el ministro de Transformación Digital declaró recientemente que España recibió más de 100.000 ciberataques en 2024, de los cuales uno de cada tres fue grave. Además, puntualizó que en la última década estos ataques se han incrementado en un 300%, y que el 70% de ellos se dirigen a organismos, empresas y entidades, mientras que el resto afecta directamente a la ciudadanía.

Un caso paradigmático fue el escándalo del software espía Pegasus, desarrollado por la compañía israelí NSO Group. Según diversas fuentes, más de 600 políticos y funcionarios, 200 periodistas y unos 150 ejecutivos y activistas habrían sido víctimas de este espionaje en todo el mundo. En términos cuantitativos, se estima que unos 50.000 números de teléfono pudieron haber sido filtrados. En España, la Audiencia Nacional reabrió hace un año la investigación iniciada en 2021 por el espionaje al presidente del Gobierno, Pedro Sánchez, y a tres de sus ministros: los de Defensa, Interior y Agricultura. El caso obligó a la Presidencia del Gobierno a cambiar por completo su sistema de seguridad y encriptación de comunicaciones. Hasta la fecha, se desconoce quién fue el responsable del espionaje al líder de uno de los principales países europeos.

El ciberespacio, nuevo frente de defensa

Parece que la situación hubiese tenido que llegar a ese extremo para que el Gobierno tomara conciencia de la gravedad problema, que afecta tanto al conjunto de la sociedad española como a la propia defensa del Estado. Nada mejor que una coyuntura que amenace al núcleo del poder para darse cuenta de que la seguridad y la defensa son cuestiones transversales que conciernen a todo el país. El ciberespacio, considerado el quinto dominio de las operaciones militares, es el protagonista de la nueva zona gris de la confrontación interestatal y trasciende la visión tradicional de la defensa entendida como un asunto exclusivo por y para militares.

Con la promulgación del Plan Industrial y Tecnológico de Seguridad y Defensa (PITSD) el pasado 22 de abril, que cuenta con una inversión de 10.470 millones de euros para alcanzar el controvertido 2% del PIB en Defensa, se nos dice –como si fuera una revelación reciente– que las amenazas han cambiado y que por eso es imprescindible modernizar las comunicaciones cifradas, adquirir nuevos satélites y radares, actualizar la conectividad de las fuerzas aéreas y reforzar la ciberseguridad. Además, como cabía esperar, se invertirán recursos en las ya de moda soluciones de nube, inteligencia artificial, computación cuántica, 5G e Internet de las Cosas (IoT). Y, como si eso no bastara, se anuncian medidas adicionales «sin coste presupuestario para el Plan», entre ellas incentivos fiscales a la I+D de doble uso, apoyo a las Oficinas de Transferencia Tecnológica, doctorados industriales, cátedras universidad-empresa y nuevos hubs de Formación Profesional.

¿Ambición real o promesa presupuestaria?

Sin embargo, no está del todo claro cuánto hay de realidad y cuánto de propaganda en estos anuncios. Apenas quince días después de la promulgación del PITSD, el 6 de mayo, el Consejo de Ministros aprobó un plan de 1.157 millones de euros para reforzar la ciberseguridad y la defensa del país. Este paquete, enmarcado en el PITSD y presentado como «el mayor refuerzo inversor en ciberseguridad en la historia de España», contrasta con la limitada ejecución de acciones previstas en el Plan Nacional de Ciberseguridad de 2022. Todo ello, a pesar de que, según la Unión Internacional de Telecomunicaciones, España es el segundo país del mundo con más centros de ciberseguridad, solo por detrás de Estados Unidos.

Del presupuesto total del nuevo plan, 700 millones se asignarán al Ministerio de Defensa, 255 millones al Ministerio de Transformación Digital, 189 millones al Ministerio del Interior y apenas 14 millones al Ministerio de la Presidencia. El plan se articulará en 40 proyectos, aunque varios se describen de forma vaga dentro del PITSD, donde se mezclan con iniciativas de nuevas tecnologías de telecomunicación hasta sumar 3.262,76 millones de euros (el 31,16% del PITSD).

La propuesta suena ambiciosa, pero persiste una incógnita clave: no se detalla si toda la inversión anunciada se reflejará realmente en los presupuestos de los próximos ejercicios hasta 2037, fecha establecida por el Gobierno para el impulso de sus inversiones en Defensa y Seguridad. Esta falta de certeza deja en el aire la viabilidad financiera y la verdadera dimensión del compromiso.

Para este año, el PITSD prevé las siguientes inversiones en ciberseguridad y ciberdefensa:

• Data y digitalización, IA y nuevos materiales para proyectos estratégicos (BLET Córdoba, SIRTAP y UDRUME en León, y nuevo Acuartelamiento de Monte la Reina en Zamora): 212,68 M€
• Soporte de la Plataforma Campus Virtual de Enseñanza Militar (CVCDEF), creación de un Centro de Respaldo de datos para la red de Defensa y cooperación para actividades docentes de investigación, de desarrollos tecnológicos u otra colaboración con clusters CIBER TIC: 170,94 M€
• Fortalecimiento de NubeSARA, RedSARA, refuerzo con IA y criptografía post cuántica (Agencia Estatal de Administración Digital): 178,07 M€.
• Impulso de laboratorios IoT, cuántica, SOC 5G (Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales, SETID): 17,89 M€.
• Refuerzo de análisis de amenazas (Instituto de Ciberseguridad de España, INCIBE): 20,24 M€.
• Plan estratégico y ciberseguridad de RedIRIS: 43,87 M€.
• Integración de IA y mejora de resiliencia en el Sistema de Seguridad Nacional (Departamento Seguridad Nacional): 13,93 M€.
• Fortalecimiento de IA, telecomunicaciones y resiliencia en defensa (Centro Criptológico Nacional adscrito al CNI, CCN-CNI): 376 M€.
• Modernización y desarrollo del Centro de Operaciones del Ciberespacio y del Equipo de Respuesta ante Emergencias Informáticas del Ministerio de Defensa ESPDEF-CERT/MCCE (Equipo de Respuesta ante Incidentes de Seguridad del Mando Conjunto del Ciberespacio- EMAD): 159 M€.
• Potenciación de la ciber-inteligencia y refuerzo de infraestructuras del Ministerio del Interior: 189 M€.
• Potenciación de la ciber-resiliencia de las comunicaciones terrestres e inalámbricas – Centro de Sistemas y Tecnologías de la Información y las Comunicaciones (CESTIC) del Ministerio de Defensa: 159 M€.
• Aumento del presupuesto del CNI para reforzar su área de ciberseguridad y cooperación internacional para el impulso de sus capacidades técnicas y tácticas con aliados con aumento de personal y presencia exterior: 106,36 M€.
• Inversiones y funcionamiento del Instituto Nacional de Técnica Aeroespacial (INTA): 36,52 M€.
• Líneas de subvenciones a consorcios empresariales y centros de investigación y compra de prototipos y demostradores del Centro para el Desarrollo Tecnológico y la Innovación (CDTI): 250 M€.

Además, dentro de los Programas Especiales de Modernización (PEMs) y como parte de los primeros nueve financiados por el Ministerio de Industria figuran dos dedicados a la lucha contra las amenazas del ciberespacio:

• Creación de un sistema integral de ciberseguridad avanzada que desarrollará un cifrador nacional embarcado sobre plataformas aéreas Capacidad Cripto Multipropósito y Multidominio (CCMM) en cooperación con el Centro Criptológico Nacional: 16 M€.
• Creación de un Sistema Integral de Ciberseguridad Avanzada (SCOMCE) que permita ejecutar las actuaciones necesarias que aseguren la libertad de acción de las FAS en el denominado quinto dominio (el cognitivo) de las operaciones militares: 95 M€.

Probablemente, la crisis del software Pegasus, ahora amplificada por el affaire Huawei, ha evidenciado la gravedad de los ciberataques y su impacto en toda la sociedad española. El Gobierno parece que por fin ha reconocido que la seguridad es una cuestión transversal del Estado. Es en el ciberespacio –quinto dominio militar– donde actualmente se libra la principal confrontación interestatal, superando la visión tradicional de la defensa como competencia exclusiva de los militares.

Por ello, volvemos a plantearnos la pregunta que da título a este artículo: ¿Es suficiente la inversión del Plan Industrial y Tecnológico de Seguridad y Defensa para proteger a España ante la amenaza del ciberespacio?