Paraguas digital para las Baleares: ¿Alcanza el presupuesto contra atacantes invisibles?

Paraguas digital para las Baleares: ¿Alcanza el presupuesto contra atacantes invisibles?

Pregunta previa: ¿Puede un fondo de casi 9,8 millones de euros proteger de forma duradera las dependencias, los datos y los servicios de una administración regional completa? Esa es la cuestión central que se comenta tanto en los cafés de Palma como en los despachos de los pequeños ayuntamientos de la isla.

Qué ha ocurrido hasta ahora

Las Baleares están invirtiendo en un Centro de Operaciones Cibernéticas (COC) permanente, una oficina técnica para normativas y gestión de riesgos, además de medidas inmediatas que deben actuar con rapidez. Entre las piezas conocidas están la implementación a nivel regional de la autenticación de dos factores y la mayor defensa contra el ransomware. Así, se pretende proteger mejor a unas 8.000 personas empleadas; software de detección de última generación y análisis asistidos por inteligencia artificial deberían hacer los ataques visibles antes. Todo ello tiene sentido —y era ya necesario.

Análisis crítico

Pero: la arquitectura de seguridad no es un pedido único de tecnología. 9,8 millones de euros suenan a mucho, pero el dinero por sí solo no equivale a resiliencia. A algunas preguntas se les ha dado hasta ahora muy poco espacio: ¿cómo se garantizará la financiación continua tras la fase de implementación? ¿Quién comprueba de forma independiente que los sistemas usados no introduzcan nuevas vulnerabilidades? ¿Pueden los municipios pequeños con pocos empleados de TI mantener las medidas recomendadas de forma permanente? ¿Y cuán transparentes son los incidentes para la ciudadanía?

Qué falta en el discurso público

El debate suele girar en torno a la tecnología y las cifras, menos en torno al personal, la formación y los procesos. Falta una honesta relación coste-beneficio para la formación continua, los ejercicios regulares de emergencia y cosas sencillas como copias de seguridad físicas fuera de la infraestructura en línea. También escasean: requisitos vinculantes para la comprobación de la cadena de suministro con proveedores externos y protección frente a fallos por configuraciones erróneas en la monitorización basada en IA.

Escena cotidiana típica en Mallorca

A primera hora de la mañana, cuando las sombras sobre el Passeig Mallorca aún son largas, en una pequeña oficina municipal un empleado administrativo está frente a dos pantallas. Solicita subvenciones, envía documentos por correo electrónico, abre enlaces de ciudadanos —y espera que la tecnología funcione. Nadie allí es un experto en ciberseguridad; la mayoría aprende en el trabajo. Esta realidad diaria no debe perderse detrás de las grandes palabras de moda.

Propuestas concretas y de rápida implementación

1) Repartir el presupuesto: un tercio para tecnología, un tercio para personal y un tercio para formación continua, auditorías y ejercicios de emergencia. 2) Formación obligatoria y práctica para todo el personal, al menos dos veces al año, con simulacros realistas de phishing e incidentes. 3) Auditorías independientes: revisiones externas de todos los sistemas importantes y publicación de informes resumidos. 4) Un tablero regional para compartir incidentes: notificaciones anónimas de casos y lecciones aprendidas, para que los pequeños ayuntamientos no tengan que experimentar cada ataque desde cero. 5) Separar físicamente las copias de seguridad de emergencia y probar la restauración al menos semestralmente.

Política tecnológica y adquisiciones

Los procesos de adquisición deben evaluarse según sus consecuencias de seguridad. Los efectos de dependencia de grandes proveedores, la falta de alternativas de código abierto y el control limitado sobre las actualizaciones son riesgos reales. Un plan sensato: interfaces abiertas, cláusulas de seguridad obligatorias en los contratos y colaboraciones locales con universidades para formar talento.

Protección de datos y confianza ciudadana

La ciudadanía espera que las administraciones gestionen sus datos de forma segura. Cualquier noticia sobre ataques exitosos socava esa confianza. Por eso, las obligaciones de notificación de incidentes, pautas claras de comunicación y un plan de recuperación transparente deberían ser norma —no solo para Palma, sino para todos los municipios.

Conclusión contundente

El proyecto es un paso necesario, pero aún no es una protección que funcione automáticamente. Invertir en tecnología es correcto, pero sin financiación permanente, construcción de personal, auditorías independientes y pruebas realistas el sistema seguirá siendo frágil. Las Baleares pueden jugar un papel pionero —si aprenden ahora a proteger no solo servidores, sino también a las personas, los procesos y las oficinas cotidianas de la Plaça Major.