La historia de la ciberseguridad en España está estrechamente vinculada con la defensa nacional y no puede ser entendida si no se narra desde el punto de vista de los servicios de inteligencia.
Los primeros intentos de articular una estructura de inteligencia organizada se remontan a 1935, durante la Segunda República, con la consideración de crear un Servicio de Información dependiente del Ministerio de la Guerra.
Sin embargo, este primer esfuerzo se vio truncado por el estallido de la Guerra Civil (1936-1939), periodo en el que ambos bandos desarrollaron sus propias unidades de información de manera independiente, el Servicio de Información Militar (SIM) por los republicanos, y el Servicio de Información y Policía Militar (SIPM) por los sublevados. La posguerra se caracterizó por la coexistencia de múltiples servicios de información, hasta ocho, con competencias a menudo solapadas.
El principal hito significativo en la organización de la inteligencia española fue la creación en 1972 del Servicio Central de Documentación (SECED), determinante en la configuración del actual CNI y el CCN-CERT.
Dependiente directamente de la Presidencia del Gobierno, su misión principal se centró en «contrarrestar la subversión». Con la llegada de la transición democrática tras la coronación del Rey Juan Carlos I en 1975, se hizo patente la necesidad de una reforma integral de los servicios de inteligencia. Este proceso culminó en 1977 con la creación del Centro Superior de Información de la Defensa (CESID), el primer servicio de inteligencia de ámbito nacional, que reemplazó al SECED y a la inteligencia militar dependiente del Estado Mayor.
A lo largo de los años 80, el CESID consolidó su estructura y definió sus prioridades, que incluían la prevención de la desestabilización constitucional y el espionaje, al tiempo que iniciaba su internacionalización. En 1995, la aprobación del Estatuto del Personal del CESID marcó un avance hacia su profesionalización, y en 2001 se nombró por primera vez a un civil como su director.
La entrada en la era digital y la creciente conciencia sobre la importancia de la seguridad de la información condujeron a una nueva transformación en la estructura de inteligencia española.
En mayo de 2002, nació el Centro Nacional de Inteligencia (CNI) bajo la Ley 11/2002, que heredó el director y las funciones del CESID pero se dotó de un marco legal más preciso, incluyendo mecanismos de control judicial mediante la Ley Orgánica 2/2002. Algunos de sus primeros hitos fueron impulsar el Real Decreto 281/2003 Reglamento Registro General la Propiedad Intelectual, la Ley 59/2003 de Firma Electrónica o la Ley 32/2003 General de Telecomunicaciones.
En aquella época, ya era patente la necesidad de un organismo que, basándose en el conocimiento de las tecnologías de la información y de las amenazas y vulnerabilidades existentes, ofreciera una garantía razonable sobre la seguridad de productos y sistemas. Para responder a esta demanda y afrontar los nuevos retos del escenario nacional e internacional, se constituyó el Centro Criptológico Nacional dentro del CNI con el Real Decreto 421/2004 que estableció sus funciones y responsabilida de.
Dicha entidad desarrolla PILAR de análisis de riesgo con metodología MAGERIT. Al año siguiente comienzan a publicarse las Guías CCN-STIC como normas, instrucciones, guías y recomendaciones para garantizar la seguridad TIC en las administraciones públicas.
Los años 2006 y 2007 son años muy importantes para la ciberseguridad en España. En 2006 se constituye tanto el CERT Gubernamental español o CCN-CERT con Capacidad de Respuesta a Incidentes y el grupo CSIRTes (CERT españoles). Paralelamente, se crea el Instituto Nacional de Tecnologías de la Comunicación (INTECO) mediante el Real Decreto 1553/2006, inicialmente enfocado en innovación TIC pero que, ante el aumento de ciberamenazas, reorientó su actividad hacia la protección de ciudadanos y empresas en el entorno digital.
Estos pasos marcaron los primeros esfuerzos institucionales para abordar la seguridad en el ciberespacio. Ese año también se aprueba la Ley 11/2007 de Acceso Electrónico de los Ciudadanos a los Servicios Públicos y se publica el Reglamento de Evaluación y Certificación de la Seguridad de las TIC (Orden PRE/274/2007, de 19 de septiembre). En 2007 se celebra la I Jornada STIC CCN-CERT y se aprueba el RD 1720/2007 Reglamento que desarrolla la Ley de Protección de Datos.
En 2008, el CCN desarrolló el Sistema de Alerta Temprana de la Red SARA (SAT SARA) en colaboración con el Ministerio de Administraciones Públicas, un avance significativo en la detección y respuesta a amenazas cibernéticas. Ese mismo año, se presentó el CSIRT CV de la Comunidad Valenciana, el primer CERT autonómico en España, y se estableció un convenio de colaboración entre el CNI y la FEMP para fortalecer la seguridad en los ayuntamientos españoles.
Además, el CCN-CERT ingresó en el European Government CERT (EGC), consolidando su posición como un actor clave en la ciberseguridad gubernamental europea.
En los años siguientes, el CCN continuó innovando con herramientas como el Sistema de Alerta Temprana en las salidas de Internet (SAT INET), diseñado para detectar incidentes y anomalías en organismos públicos, y el desarrollo del servicio de Análisis de Portales Web y el Sistema Multiantivirus (MAV) para combatir código dañino.
También destacó su participación en la redacción del Esquema Nacional de Seguridad (ENS) y la incorporación de su esquema de certificación al acuerdo europeo SOGIS MRA v3, junto con la firma de convenios como el de la Junta de Andalucía para impulsar la seguridad de la información.
En 2011 y 2012, el CCN reforzó su labor con la creación del Grupo de Trabajo de Protección de Infraestructuras Críticas y la aprobación de la Ley 8/2011 y su reglamento asociado. Además, lanzó herramientas avanzadas como CARMEN para el análisis de registros en tiempo real y expandió el SAT SARA a las comunidades autónomas.
Estos esfuerzos culminaron con la adhesión de 40 organismos al SAT INET, incluyendo la primera autonomía (Extremadura), y la elaboración de listas negras para identificar amenazas, demostrando su compromiso con la evolución constante de la ciberseguridad en España.
En abril de 2012 se redactó un borrador de la Estrategia Española de Ciberseguridad que no llegó a aprobarse formalmente, pero fue en diciembre de 2013 cuando se adoptó oficialmente la Estrategia de Ciberseguridad Nacional, un documento clave que tradujo los riesgos del ciberespacio en objetivos y líneas de acción concretas, posicionando a España en un nivel intermedio respecto a sus homólogos europeos y sirviendo como motor de dinamización para múltiples iniciativas, como reflejó el primer Informe de Seguridad Nacional de 2014.
Esta aprobación propició, entre 2013 y 2015, un desarrollo institucional estratégico que incluyó la creación del Mando Conjunto de Ciberdefensa de las Fuerzas Armadas, el CERT de Seguridad e Industria, la Dirección General de Tecnologías de la Información y Comunicación (TIC) de la Administración General del Estado y la Oficina de Coordinación Cibernética en el Centro Nacional de Protección de Infraestructuras Críticas, todos ellos integrados en un modelo organizativo orientado a estructurar la acción cibernética mediante objetivos, acciones, indicadores, plazos y responsables que darían forma al futuro Plan Nacional de Ciberseguridad.
Al mismo tiempo, INTECO comenzó a enfocar sus esfuerzos de manera más específica en el ámbito de la ciberseguridad: la culminación de este proceso de especialización se produjo en 2014, cuando INTECO cambió su denominación a Instituto Nacional de Ciberseguridad (INCIBE), reflejando la primacía de este campo en su misión.
Desde entonces, INCIBE se ha convertido en la entidad de referencia en España para el desarrollo de la ciberseguridad, ofreciendo una amplia gama de servicios y recursos destinados a concienciar, prevenir y responder a los incidentes de seguridad en el ciberespacio. Entre sus iniciativas se encuentra ‘Protege tu Empresa’, un canal específico para autónomos y pequeñas y medianas empresas (pymes) con el objetivo de concienciarles sobre la importancia de la información y ofrecerles pautas para su protección. INCIBE también organiza eventos importantes como el Cybersecurity Summer BootCamp (SBC).
La pandemia de COVID-19 en 2020 aceleró la transformación digital y el teletrabajo, incrementando la exposición a riesgos y la necesidad de medidas de protección robustas.
Para 2021, España consolidó su compromiso con la ciberseguridad al alcanzar el cuarto puesto a nivel mundial en el índice de la Unión Internacional de Telecomunicaciones (UIT), reflejando una evolución sostenida desde que en 2019 esta materia pasara a ocupar una posición prioritaria en la agenda nacional.
Instituciones como el Instituto Nacional de Ciberseguridad (INCIBE) ampliaron desde entonces sus competencias y alcance, y uno de los hitos más significativos fue la promulgación de la Carta de Derechos Digitales en 2021, la cual reconoció expresamente el derecho a la ciberseguridad, entendida como la garantía de que toda persona pueda utilizar sistemas de información digital protegidos mediante medidas de seguridad adecuadas.
