Como profesional, cuando leo como cada año tanto los CERT como las FFCCS reportan más y más ciberincidentes en sus balances anuales, me pregunto si la ciberseguridad preocupa realmente dentro de las organizaciones.

Solo por poner en contexto, en 2025 el INCIBE reportó 122.223 incidentes, un 26% más que en 2024, siendo los principales atacados el sector público y las PYMES; mientras que el CCN-CERT (Centro Criptológico Nacional) atendió 177.098 incidentes en 2024. Además, los últimos datos del Informe de Seguridad Nacional han demostrado una tendencia hacia ataques cada vez más graves y exigentes de gestionar.

Por su parte, WEF, en 2025, señaló que en los últimos tres años había aumentado un 30% el número de PYMES que se sentían desprotegidas, una desconfianza que evidentemente genera un desequilibrio en la economía de los países.

Y es que según el CCN-CERT, el 34% de todas las amenazas en 2024 fueron dirigidas hacia las administraciones públicas, una situación que es especialmente grave en los administradores locales, en los que su escasa protección (apenas el 1% de ayuntamientos cumplen los requisitos del ENS) junto a los datos que gestionan, incrementan el atractivo para los ciberdelincuentes y el impacto potencial de cualquier incidente.

¿Por qué el sector público es tan ciberatacado?

La falta de presupuestos exclusivos para ciberseguridad, el uso de sistemas desactualizados y la escasa formación del personal público se encuentran entre los principales motivos junto a los datos controlados, ya sea información ciudadana, empresarial, de infraestructuras críticas o cadenas de suministro, crean el cebo perfecto para los ciberdelincuentes.

En general, no se entiende la ciberseguridad en sí misma, sino que los recursos se encuentran repartidos en otras partidas presupuestales, principalmente en defensa, pero también en otras como transformación digital o recursos TIC.

La inversión en tecnología en 2024 fue de 4.020 millones. Sin embargo, la parte destinada a ciberseguridad es una ínfima parte del presupuesto, y lo que llega a los municipios es casi imperceptible.

Este hecho reviste una mayor gravedad: un ataque focalizado a un ayuntamiento específico puede suponer un robo de información altamente sensible con mayor facilidad que intentar robar esa información a través de los sistemas de las administraciones centrales.

¿Faltan profesionales de la ciberseguridad?

En un principio, la demanda de profesionales tanto en el sector privado como público está disparada, habiéndose dado noticias sobre que se necesitan decenas de miles de profesionales en los últimos años.

Sin embargo,el ritmo de formación y su expertise parecen no acompañar a ese crecimiento. Los profesionales disponibles se concentran en las grandes organizaciones y la brecha se nota con más fuerza en sectores como la educación, la administración pública y la sanidad, además de en las pequeñas y medianas empresas, que son las más afectadas por la falta de perfiles especializados.

En consecuencia, muchas pymes y ayuntamientos, que suelen partir de menos recursos, quedan con una protección insuficiente o directamente sin cobertura.

A este déficit se suma la escasa actualización tecnológica y la falta de competencias digitales en parte del personal, un punto débil que los atacantes explotan con facilidad. Por eso, el malware y el phishing siguen entre las amenazas más habituales, impulsados por esa falta de formación y por técnicas de ingeniería social cada vez más sofisticadas.

Qué sí se está haciendo en el sector público

A pesar de la situación, se están tomando medidas para reducir el impacto y la frecuencia de los ciberataques. Una de las líneas principales es el refuerzo del marco normativo. Normas como el Esquema Nacional de Seguridad y la Ley de Ciberseguridad 5G marcan requisitos básicos para proteger redes y sistemas en empresas y en organismos públicos.

A nivel europeo, la directiva NIS2 eleva las obligaciones en sectores esenciales como la sanidad o el transporte y empuja a incrementar controles y capacidades de seguridad. Estas reglas ayudan a ordenar la gestión de la ciberseguridad, pero su efecto depende de que exista un impulso real para aplicarlas y supervisarlas de forma consistente.

En paralelo, se refuerza la respuesta y la recuperación ante incidentes. La Red Nacional de SOC integra centros de operaciones de seguridad y mejora la coordinación en la detección y la respuesta. En ese mismo plano, el CCN CERT mantiene un papel clave en la mitigación de ataques graves y en la recuperación de sistemas afectados, aportando apoyo técnico y capacidades de análisis cuando el impacto es alto.

También avanza la colaboración público privada y la coordinación internacional, que resultan esenciales frente a ataques que cruzan fronteras. El CCN CERT colabora con organismos como Europol, lo que facilita una actuación más rápida cuando el objetivo son infraestructuras críticas. A su vez, la cooperación entre INCIBE y empresas privadas impulsa el intercambio de información relevante sobre amenazas, vulnerabilidades y medidas de mitigación.

Por último, se activan fondos y planes extraordinarios. España incrementa la inversión con partidas específicas, como el Plan Nacional de Ciberseguridad, dotado con 1.157 millones de euros, con el objetivo de reforzar capacidades, mejorar la prevención y elevar la resiliencia de organizaciones públicas y privadas.

¿Podemos ciberproteger mejor nuestro sector público?

Para que el paradigma cambie es necesario plantear la ciberseguridad de forma proactiva y no como un trámite burocrático más.

Aunque organismos como INCIBE impulsan la formación, de poco sirve si la ciberseguridad no se integra en la rutina de trabajo. La ciberhigiene debería formar parte del desempeño diario, reduciendo ataques simples pero graves, como los accesos mediante phishing.

Organismos como la CISA o la NSA defienden la necesidad de implantar mecanismos de Zero-Trust, como la verificación continua, el doble factor y la microsegmentación.

Lo ideal sería que estos mecanismos fuesen creados expresamente para las organizaciones y no contratados a empresas externas, reforzando esta política de confianza cero, más aún cuando se trabaja con datos críticos que afectan a toda la población.

Reforzar la ciberseguridad en las organizaciones, una tarea pendiente

A través de los datos mostrados se puede observar cómo la ciberseguridad no se encuentra olvidada, si no que representa un problema a considerar para las empresas y PYMES y esencialmente para el Estado.

Sin embargo, pese a la gravedad y volumen de ataques, especialmente en entidades locales, los presupuestos muestran que todavía no ocupa un papel prioritario, quedando diluida dentro de otras áreas como digitalización o defensa.

Existen avances normativos, estructurales y de coordinación, pero la financiación, la especialización y la aplicación efectiva siguen siendo los grandes retos.

Conseguir una buena ciberseguridad en el sector público es el primer paso para proteger a los ciudadanos y extender esa protección al resto del tejido empresarial.