Esa paradoja fue el centro de gravedad del IV Foro de la Ciberseguridad de Retina, celebrado en el Espacio Larra de Madrid y patrocinado por Cellnex, Indra y Santander. Mandos policiales y militares, expertos en ciberseguridad, responsables institucionales y especialistas en derechos digitales compartieron mesa: cada uno desde un ángulo distinto, todos apuntando al mismo problema. Diagnosticar ya no basta.
El mapa de lo que nos amenaza
Cuando España aprobó en 2011 su Estrategia de Seguridad Nacional, tomó una decisión conceptual que sus principales aliados europeos evitaban: disolver la separación entre seguridad interior y exterior. No como concesión política, sino como lectura de la realidad. La lógica era sencilla: si las amenazas ya no respetan esa frontera, el marco institucional que sí la respeta trabaja en desventaja.
Francia, Alemania y el Reino Unido mantienen una separación explícita entre seguridad interior y exterior, marcos diseñados para un mundo donde la inteligencia militar y la policía judicial operan en carriles distintos. En España esa división nunca existió como tal: ambos ámbitos quedan integrados bajo el mismo marco de Seguridad Nacional desde 2011.
Lo que sí existe es un patrón que el foro describió con ejemplos concretos. Una célula de cinco individuos vinculada a inteligencia rusa, detenida en España, investigada y puesta en libertad por dificultad de atribución formal (tres de esos cinco están hoy encarcelados en Hungría por acciones cibernéticas relacionadas). Artefactos incendiarios en naves logísticas con vínculos al conflicto ucraniano. Un piloto ruso desertor asesinado en Villajoyosa. Cada caso, por separado, es un incidente con difícil encaje legal. Juntos, un patrón: acciones cinéticas de baja intensidad diseñadas para no cruzar el umbral de acto de guerra atribuible. Y el mapa es más ancho de lo que parece. El comisario principal Marcial Piriz, recién jubilado tras más de cuatro décadas de servicio, recordó que la frontera tradicional de España se ha desplazado miles de kilómetros al sur, hasta el Sahel, y que a las ciberamenazas se suman el terrorismo, la radicalización violenta y el uso hostil de flujos migratorios por terceros Estados.
España tiene el marco para nombrarlo. Le falta la percepción compartida que convierte el diagnóstico en respuesta colectiva. Piriz, con una carrera dedicada a la lucha antiterrorista, fue directo: «La sociedad española no siente el riesgo. Nuestras élites políticas, culturales y mediáticas no trasladan esa sensación de peligro». El conocimiento existe en compartimentos especializados. Fuera de ellos, la amenaza sigue siendo abstracta.
Piriz ilustró ese punto con la única amenaza que España sí llegó a sentir como propia: el terrorismo de ETA. Aquel cambio de percepción, describió, no llegó por previsión sino por catástrofe: hizo falta una masacre como la de Hipercor, en junio de 1987, para que el horror dejara de ser abstracción y se convirtiera en conciencia colectiva. El precedente avisa: la percepción social puede transformarse de golpe, pero hasta ahora solo lo ha hecho después del daño.
La velocidad que cambia todo
Esa lentitud institucional no se explica solo por la dificultad de atribución. Hay una segunda razón, más técnica: el tiempo disponible para responder se está acortando.
Hay un modo de medir cuánto ha cambiado la naturaleza del conflicto que no requiere datos clasificados: el tiempo que pasa entre el descubrimiento de una vulnerabilidad de software y su explotación activa. Hace cinco años se medía en meses, hoy en días, y la tendencia apunta a horas, según Sandra Bardon, que lleva años gestionando ciberseguridad para agencias del sistema de Naciones Unidas. Ese colapso temporal no es un problema técnico, sino de arquitectura defensiva: un modelo que responde cuando ya ha ocurrido el ataque asume que hay tiempo para responder, y ese margen se agota.
El mismo principio aparece en el conflicto físico. El coronel Ángel Gómez de Agreda, piloto del Ejército del Aire y autor de Un mundo falaz, lo formuló con precisión: «Lo que ha cambiado no es la naturaleza de la guerra, es la velocidad del mecanismo. Y con ella, la participación del ser humano en el proceso». Un dron de dos mil dólares puede inutilizar equipos que cuestan mil veces más: la asimetría no es nueva, lo nuevo es la cadencia. Una contramedida puede quedar obsoleta en semanas, y el ciclo de innovación militar, antes medido en décadas, hoy se mide también en semanas.
Optimizar y proteger son objetivos en tensión permanente. La eficiencia elimina redundancias, y las redundancias, en un sistema bajo ataque, son justo lo que permite seguir funcionando cuando algo falla. Cada mejora en rendimiento es, a la vez, una reducción de la capacidad de absorber un fallo sistémico.
Esa tensión adquiere otra dimensión cuando se examina quién controla la infraestructura sobre la que opera la defensa. El teniente general Millán Martínez, director del CESTIC, señaló que la dependencia tecnológica de plataformas extranjeras alcanza incluso a los sistemas de comunicación internos del ejército: no es una anomalía administrativa, sino dependencia geopolítica con forma de contrato de correo. El coronel lo llevó un paso más allá: buena parte de los datos del mundo se concentra en tres o cuatro grandes compañías que han empezado a comportarse como actores geopolíticos por derecho propio. Las grandes tecnológicas han dejado de ser proveedores neutros. Tienen posiciones, intereses y, desde la irrupción de la inteligencia artificial, una capacidad de influencia sobre los sistemas que dependen de su infraestructura impensable hace diez años.
Alemania y Francia han empezado a explorar equivalentes europeos para modelos de inteligencia artificial propios: una respuesta más geopolítica que industrial.
El director del CESTIC puso un límite realista a esa ambición: la autonomía tecnológica total es inalcanzable. Las materias primas, los grandes proveedores de nube y buena parte de la cadena dependen del exterior, y renunciar a ellos devolvería al país casi al punto de partida. Lo que sí puede conservarse, sostuvo, es la autoridad de diseño: el control sobre cómo se conciben las capacidades propias, aunque algunos componentes vengan de fuera. De ahí que el desarrollo de software sea, a su juicio, el terreno donde España debería volcar más esfuerzo: no se trata de fabricarlo todo, sino de no ceder el diseño.
Cómo se prepara una sociedad
La resiliencia no se improvisa cuando llega el incidente. Sandra Bardon lo explicó con un caso que la marcó especialmente: al evaluar la seguridad de una organización que trabajaba con niñas víctimas de abusos, comprobó hasta qué punto era vulnerable el canal de comunicación que usaban las propias víctimas, sus familias y los psicólogos que las atendían. «Si esas comunicaciones se interceptan, no solo comprometes datos, dijo, comprometes vidas. Alguien podría localizar a esas niñas, identificar a sus familias o ponerlas directamente en peligro». Ahí, añadió, se entiende que la ciberseguridad no va solo de tecnología: va de proteger personas reales.
Esa sensibilidad convive con años de práctica en entornos hostiles. Bardon lleva más de doce años participando en los Locked Shields de la OTAN, el mayor ejercicio de ciberdefensa del mundo, como parte del equipo atacante. De ahí extrae su observación más reveladora: lo que de verdad pone a prueba a una organización no es el volumen de ataques, sino el momento en que su propio canal de coordinación queda comprometido. «Muchas organizaciones saben qué hacer sobre el papel, explicó, lo que no tienen es la respuesta a una pregunta muy concreta: quién llama a quién cuando el sistema que usan para coordinarse ha sido el vector del ataque». Pocas han practicado ejecutar sus protocolos cuando el medio para activarlos ha caído.
España participa en estos ejercicios y tiene talento en ciberseguridad, formación de calidad y presencia en los foros donde se construyen los estándares internacionales. El problema no está en la capacidad técnica, sino en la retención y la escala: el talento formado aquí trabaja con frecuencia fuera, o dentro pero por debajo de su valor de mercado. No hay un ecosistema capaz de retenerlo con la misma fuerza con que otros países lo atraen.
Hay además una paradoja que la mesa de defensa señaló con precisión: la herramienta que se despliega para defenderse puede convertirse en el problema. Una teniente del Cuerpo de Intendencia de la Armada formuló la pregunta que el debate técnico suele esquivar: «La base ética de un soldado siempre ha sido imprescindible, pero, cuando delegamos decisiones en sistemas autónomos, ¿quién garantiza los límites éticos de esas decisiones? Una máquina no tiene moral: solo sigue instrucciones». Desplegar primero y gobernar después es justo el patrón que hace posible el tipo de amenaza que se pretende neutralizar.
La generación que viene
Las plataformas digitales son infraestructura de doble uso. En las mesas de defensa se describen como vector de operaciones de influencia: canales a través de los cuales actores externos amplifican divisiones internas, distribuyen desinformación y erosionan la confianza en las instituciones. En las mesas sobre menores se describen como entornos diseñados para maximizar el tiempo de atención, sin reparar en su impacto sobre la capacidad de discernimiento de quienes los habitan. Mismo objeto, mismo mecanismo: cambia el ángulo desde el que se mira.
El director del Observatorio Español del Racismo y la Xenofobia lleva años midiendo el fenómeno. Los datos que presentó son elocuentes: los picos de discurso de odio en España correlacionan con eventos concretos (partidos de fútbol con incidentes raciales, debates migratorios) y siguen patrones de amplificación que no son orgánicos. Cuando detectan un pico, el objetivo no es solo retirarlo, sino frenarlo antes de que se convierta en germen de algo mayor. La velocidad de propagación del odio sigue la misma lógica que la de explotación de una vulnerabilidad de software.
Una sociedad educada durante años en entornos diseñados para maximizar atención y reacción emocional reduce poco a poco su resistencia a la manipulación. Como señaló esa mesa, internet se diseñó por adultos para adultos, y los menores entraron en ese ecosistema sin que las reglas se adaptaran a ellos. Los jóvenes que llevan más tiempo dentro son también quienes antes aprenden a moverse en una lógica que el resto aún está reconociendo.
Rubén Pérez Correa, secretario de Estado de Juventud e Infancia, planteó el problema esquivando dos extremos: banalizar el riesgo digital o, igual de dañino, tratar el entorno digital como una cuarentena de la que hay que rescatar a los menores. Su propuesta apunta a naturalizarlo y educarlo, y para eso desmontó un mito cómodo: el del nativo digital. No existe tal cosa, sostuvo, y lo ilustró con una analogía: en una ciudad llena de coches nadie conduce por intuición, hace falta aprender un código de circulación y unas reglas mínimas. Con lo digital ocurre lo mismo: hay competencias que se adquieren, igual que se aprende a conducir.
Esa convicción enlaza con lo que ya hacen otros. Finlandia y Taiwán llevan años enseñando en las escuelas a detectar desinformación y amenazas híbridas, porque entienden que la defensa empieza también por la sociedad. España tiene el talento y las universidades. Lo que, según Pérez Correa, ya no cabe es esperar a la autorregulación del sector: la responsabilidad es del Estado.
Hay también señales en la dirección contraria. La directora general de la Fundación Hermes, un think tank de derechos digitales, contó el caso de unos estudiantes universitarios que han desarrollado una aplicación que desactiva los patrones adictivos de Instagram (scroll infinito, reproducción automática, notificaciones diseñadas para crear dependencia): el usuario elige qué mecanismos desactivar y sigue navegando sin ellos. No es una solución sistémica, pero sí una señal de que hay conciencia y talento. El problema no es la generación que viene, sino el entorno que le estamos entregando.
Por qué un país que sabe responde tan lento
La pregunta de fondo era por qué un país que sabe lo que le amenaza responde tan lentamente. Las causas que el foro enumeró (atribución, velocidad, dependencia tecnológica, fuga de talento) comparten un mismo terreno: la ausencia de una presión social sostenida que obligue a resolverlas. Sin percepción compartida del riesgo no hay voluntad política que dure, y sin voluntad política no hay presupuesto para retener talento, ni urgencia para construir soberanía tecnológica, ni gobernanza que ponga límites antes de desplegar.
Por eso el precedente de ETA debería pesar en el debate. La percepción compartida puede cambiar y, cuando cambia, arrastra todo lo demás. Pero hasta ahora solo lo ha hecho después de la catástrofe. El reto que el foro dejó sin resolver es construir esa percepción antes del Hipercor que nadie quiere ver, no después.
El diagnóstico lleva catorce años escrito. Lo que falta por construir es la sociedad que lo sostenga. Eso no está en ningún plan de defensa, pero es la condición para que cualquiera de ellos funcione.